ExelaStealer

ほぼこもセキュリティニュース By Terilogy Worx

ExelaStealerは、インフォスティーラーです。
インフォスティーラーはすでに多くの種類が登場してしまっていて、悪用されている事例も多くあります。
しかし、そこにまた新たな実装が投入されてしまっています。

  • 無料バージョン
    ExelaStealerは、無料バージョンのソースコードが入手可能です。
    ソースコードのままでは、もちろん、悪事を働くことはできないのですが、WindowsのパソコンとPythonの実行環境が用意できれば、簡単にマルウェアのバイナリを自分で作ることができます。
    ExelaStealerの配布物の中に、悪事を働くためのコードの本体部分のほかに、難読化するソースコードも一緒に配布されていますし、それらを使ってバイナリ化するためのコードも一緒に配布されています。
    マルウェアをバイナリ化したい人は、そのバイナリ化するためのコードをPythonで実行するだけでいいのです。
  • 有料バージョンが格安
    無料のバージョンは宣伝用です。
    有料バージョンは支払いが必要ですが、とても安いです。
    1か月の使用料金は20ドル、3か月の料金は45ドル、生涯購読料は120ドルです。
  • Pyinstaller
    ExelaStealerのバイナリの形式は、Pyinstallerによって生成されたバイナリの形式です。
    このため、バイナリのみを持っている場合でも、内容の解析が可能です。
    まずはバイナリをPythonのスクリプトに戻すことができます。
    道具としては、pyinstxtractorなどが使えます。
    難読化されたPythonのスクリプトが取り出せます。
    pycdcで逆コンパイルする、出てきたコードの中の機構でデコードする、などの手順を踏めば、内容を確認できます。
  • 見た目の動作
    ExelaStealerは、PDF文書を装います。
    実行されると、一緒に配布しているPDFを表示します。
    このPDF文書には、なんら加工はされていません。
    単に侵害環境にあるPDF表示ソフトを使用して画面表示するだけです。
    目くらましということでしょう。
  • マルウェアとしての動作
    PDFを表示している裏側でマルウェアとしての動作が実行されます。
    Windowsのバージョン、システムのUUID、スクリーンショット、クリップボード内容の取得、基本的なシステム情報、基本的な物理ディスク情報、ユーザー情報、ファイアウォールのステータス、WLANのステータスとプロファイルを収集します。
    収集したものはZIPファイルにまとめられ、脅威アクターが制御するDiscordチャネルに投稿されます。

ExelaStealerは安いうえに利用が簡単です。
これがなくても、すでにインフォスティーラーはあふれている状況ですが、さらにこれによってインフォスティーラーの被害は拡大しそうです。

参考記事(外部リンク):Another InfoStealer Enters the Field, ExelaStealer
www.fortinet.com/blog/threat-research/exelastealer-infostealer-enters-the-field

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。