信息窃密木马入局新玩家:ExelaStealer

2023-11-16 14:11:18 浏览数 (1)

2023 年,信息窃密木马纷纷涌现,既有 RedLine、Raccoon 和 Vidar 等这个市场中的重要玩家,也有 SaphireStealer 等刚入局的新玩家。近日,研究人员发现了新的信息窃密木马:ExelaStealer。ExelaStealer 最早在 2023 年 8 月被披露。

ExelaStealer 是开源的信息窃密木马,攻击者也提供付费定制化改造服务。该恶意软件使用 Python 编写,可以从 Windows 失陷主机窃取敏感信息(如密码、信用卡、Cookie 与 Session 等)。

宣传广告

ExelaStealer 在暗网宣传的广告中表示,攻击者提供开源版本与付费版本,广告也对功能进行了深入介绍:

广告宣传

广告由 ExelaStealer 的运营方发布,账号是 quicaxd:

发布广告

如上所示,该恶意软件一个月的使用费为 20 美元,三个月的使用费为 45 美元,终身订阅费为 120 美元。此外,攻击者还提供了 Telegram 频道,分析时仍处于活动状态。Telegram 主页介绍了购买的付费版本,与开源版本的 GitHub 仓库地址。

Telegram 广告

恶意软件构建

任何人都可以使用免费提供的源代码创建 ExelaStealer 恶意文件:

构建选项

恶意软件只能在 Windows 机器上编译与打包,恶意软件主要代码在名为 Exela.py的文件中:

源代码

构建过程会使用批处理文件启动程序,再调用 Python 与 builder.py脚本文件:

构建文件

构建工具使用名为 obf.py的文件来进行必要的处理混淆 ExelaStealer 代码,阻碍分析。

代码混淆

混淆后的代码会写入名为 Obfuscated.py 的文件中,可供攻击者使用。

初始感染向量

研究人员发现的二进制文件似乎是特定攻击行动的一部分,被发现的诱饵文档也证明了这一点。不幸的是,研究人员并未发现最初的感染向量。当然,初始感染可以通过多种方式实现。

Sirket-ruhsat-pdf.exe

该二进制文件是最初阶段使用的,旨在生成 sirket-ruhsat-pdf.exe 并启动 PDF 查看软件并向用户显示诱饵文档 BNG 824 ruhsat.pdf。后续,会将这两个文件写入 C 盘的根目录中:

释放的文件

BNG 824 ruhsat.pdf

sirket-ruhsat-pdf.exe 会自动尝试打开 BNG 824 ruhsat.pdf 文件,该 PDF 文件是 Dacia Duster 的土耳其车辆登记证书,文档本身完全无害,只是对受害者的诱饵。

诱饵文档

Sirket-ruhsat-pdf.exe

sirket-ruhsat-pdf.exe 是一个 PyInstaller 可执行文件,可以通过 pyinstxtractor 等分析工具来对内容进行检查:

文件内容

该可执行文件可能使用无效的证书进行签名,并使用微软合法的进程名称 Runtime Broker。下图为 Obfuscated.py 编译后的版本,使用 pycdc 等分析工具也可以对代码进行反编译:

反编译代码

不幸的是,所有的函数名称与变量仍然是被混淆的,增加了分析人员所需的分析时间。然而这并不意味着无法分析,其中包含大量数据:

反编译脚本的数据

文件末尾的函数是用于解码与执行的:

解码函数

分析人员将代码与数据进行处理,获取了完整的代码,如下所示。可以发现,这就是 Exela.py 的代码:

解码后的代码

Sirket-ruhsat-pdf.exe 会在新进程中生成自身,如下所示:

进程信息

ExelaStealer 随后会运行以下两个命令:

  • C:Windowssystem32cmd.exe /c "ver"
  • wmic csproduct get uuid

命令会收集 Windows 系统的版本与主机的 UUID,后续执行 base64 编码的 PowerShell 命令:

PowerShell 命令

解码后,该命令会获取屏幕截图:

解码后的 PowerShell 命令

接下来会执行一系列 PowerShell 命令:

代码语言:javascript复制
powershell.exe -Command " $clipboardData = Get-Clipboard -Format Image $destinationPath = "C:UsersuserAppDataLocalTemp0000000-0000-0000-0000-D05099DB2397last_clipboard_image.png" $clipboardData.Save($destinationPath)"
C:Windowssystem32cmd.exe /c "echo ####System Info#### & systeminfo & echo ####System Version#### & ver & echo ####Host Name#### & hostname & echo ####Environment Variable#### & set & echo ####Logical Disk#### & wmic logicaldisk get caption,description,providername & echo ####User Info#### & net user & echo ####Startup Info#### & wmic startup get caption,command & echo ####Firewallinfo#### & netsh firewall show state "
netsh wlan export profile
C:Windowssystem32cmd.exe /c "netsh wlan show profile

(向右滑动,查看更多)

这些命令会从剪贴板复制截图并收集系统相关信息,如系统信息、硬盘信息、用户信息、防火墙信息以及 WiFi 信息。在将信息回传给攻击者前要将其存储在本地,在 C:Users<user>AppDataLocalTemp 中创建一个以 UUID 命名的文件夹。

收集的数据

每个文本文件都包含 Telegram 频道的 URL,如下所示:

Telegram 信息

文件使用与文件夹同名的 UUID 压缩成 ZIP 文件,然后通过 Discord webhook 发送到 Discord 频道。

结论

数据的价值越发凸显,攻击者想要窃取数据的尝试永远不会停歇。被窃数据可能被用于勒索、间谍活动,世界上也不断涌现出新的玩家。

IOC

f96bc306a0e3bc63092a04475dd4a1bac75224df242fa9fca36388a1978ce048 95d860570b2777d7af213f9b48747d528251facada54842d7a07a5798fcbfe51 5aff2c5e65d8e4e7fa0b0c310fbaef1e1da351de34fa5f1b83bfe17eeabac7ef 34dca3c80cd5125091e6e4de02e86dcc6a2a6f9900e058111e457c9bce6117c0 c56b23602949597352d99aff03411d620b7a5996da2cab91368de275dcfbaa44 hXXps://discord[.]com/api/webhooks/1139506512302194789/X_VYZdAHscWQNKWvya9KWqqqTK6UjVvS86_kUy8P8OyCcPhKykCQpEqf93S_qDFVuzp8

0 人点赞