ExelaStealer похищает обширный спектр данных, прикидываясь PDF-документами

Новый похититель данных ExelaStealer недавно пополнил арсенал хакеров, нацеленных на кражу конфиденциальной информации с заражённых Windows-систем. По данным Джеймса Слотера , исследователя FortiGuard Labs, ExelaStealer — это инфовор с открытым исходным кодом, но платными настройками, поддерживаемый действующей группировкой киберпреступников.

Программа, написанная на Python с поддержкой JavaScript, способна похищать пароли, токены Discord, данные кредитных карт, cookie-файлы и данные сессии, нажатия клавиш, содержимое буфера обмена, а также делать скриншоты запущенных приложений.

ExelaStealer продаётся на киберпреступных форумах и через специализированный канал Telegram. Его создатели используют псевдоним quicaxd. Платная версия стоит $20 за один месяц, $45 за три месяца или $120 за постоянную лицензию.

Невысокая стоимость программы делает её отличным инструментом для новичков в сфере взлома, что понижает порог вхождения для проведения вредоносных атак.

Существуют данные, свидетельствующие о том, что ExelaStealer попадает на компьютеры жертв через исполняемый файл, который маскируется под PDF-документ, но едва ли вредонос ограничен этим способом доставки.

Исследователи выявили, что при запуске рассмотренного ими поддельного PDF-файла на переднем плане отображается документ — турецкое свидетельство о регистрации автомобиля Dacia Duster, в то время как инфостилер действует в фоновом режиме.

«Данные стали ценной валютой, и по этой причине попытки их сбора вряд ли когда-либо прекратятся», — пояснил Слотер.

Несмотря на разнообразие программного обеспечения в сфере кражи данных, ExelaStealer показывает, что на рынке все ещё есть место для новых игроков, способных занять свою нишу.