2023 年,信息窃密木马纷纷涌现,既有 RedLine、Raccoon 和 Vidar 等这个市场中的重要玩家,也有 SaphireStealer 等刚入局的新玩家。近日,研究人员发现了新的信息窃密木马:ExelaStealer。ExelaStealer 最早在 2023 年 8 月被披露。
ExelaStealer 是开源的信息窃密木马,攻击者也提供付费定制化改造服务。该恶意软件使用 Python 编写,可以从 Windows 失陷主机窃取敏感信息(如密码、信用卡、Cookie 与 Session 等)。
宣传广告
ExelaStealer 在暗网宣传的广告中表示,攻击者提供开源版本与付费版本,广告也对功能进行了深入介绍:
广告宣传
广告由 ExelaStealer 的运营方发布,账号是 quicaxd:
发布广告
如上所示,该恶意软件一个月的使用费为 20 美元,三个月的使用费为 45 美元,终身订阅费为 120 美元。此外,攻击者还提供了 Telegram 频道,分析时仍处于活动状态。Telegram 主页介绍了购买的付费版本,与开源版本的 GitHub 仓库地址。
Telegram 广告
恶意软件构建
任何人都可以使用免费提供的源代码创建 ExelaStealer 恶意文件:
构建选项
恶意软件只能在 Windows 机器上编译与打包,恶意软件主要代码在名为 Exela.py的文件中:
源代码
构建过程会使用批处理文件启动程序,再调用 Python 与 builder.py脚本文件:
构建文件
构建工具使用名为 obf.py的文件来进行必要的处理混淆 ExelaStealer 代码,阻碍分析。
代码混淆
混淆后的代码会写入名为 Obfuscated.py 的文件中,可供攻击者使用。
初始感染向量
研究人员发现的二进制文件似乎是特定攻击行动的一部分,被发现的诱饵文档也证明了这一点。不幸的是,研究人员并未发现最初的感染向量。当然,初始感染可以通过多种方式实现。
Sirket-ruhsat-pdf.exe
该二进制文件是最初阶段使用的,旨在生成 sirket-ruhsat-pdf.exe 并启动 PDF 查看软件并向用户显示诱饵文档 BNG 824 ruhsat.pdf。后续,会将这两个文件写入 C 盘的根目录中:
释放的文件
BNG 824 ruhsat.pdf
sirket-ruhsat-pdf.exe 会自动尝试打开 BNG 824 ruhsat.pdf 文件,该 PDF 文件是 Dacia Duster 的土耳其车辆登记证书,文档本身完全无害,只是对受害者的诱饵。
诱饵文档
Sirket-ruhsat-pdf.exe
sirket-ruhsat-pdf.exe 是一个 PyInstaller 可执行文件,可以通过 pyinstxtractor 等分析工具来对内容进行检查:
文件内容
该可执行文件可能使用无效的证书进行签名,并使用微软合法的进程名称 Runtime Broker。下图为 Obfuscated.py 编译后的版本,使用 pycdc 等分析工具也可以对代码进行反编译:
反编译代码
不幸的是,所有的函数名称与变量仍然是被混淆的,增加了分析人员所需的分析时间。然而这并不意味着无法分析,其中包含大量数据:
反编译脚本的数据
文件末尾的函数是用于解码与执行的:
解码函数
分析人员将代码与数据进行处理,获取了完整的代码,如下所示。可以发现,这就是 Exela.py 的代码:
解码后的代码
Sirket-ruhsat-pdf.exe 会在新进程中生成自身,如下所示:
进程信息
ExelaStealer 随后会运行以下两个命令:
- C:\Windows\system32\cmd.exe /c "ver"
- wmic csproduct get uuid
命令会收集 Windows 系统的版本与主机的 UUID,后续执行 base64 编码的 PowerShell 命令:
PowerShell 命令
解码后,该命令会获取屏幕截图:
解码后的 PowerShell 命令
接下来会执行一系列 PowerShell 命令:
powershell.exe -Command " $clipboardData = Get-Clipboard -Format Image $destinationPath = \"C:\Users\user\AppData\Local\Temp\00000000-0000-0000-0000-D05099DB2397\last_clipboard_image.png\" $clipboardData.Save($destinationPath)"
C:\Windows\system32\cmd.exe /c "echo ####System Info#### & systeminfo & echo ####System Version#### & ver & echo ####Host Name#### & hostname & echo ####Environment Variable#### & set & echo ####Logical Disk#### & wmic logicaldisk get caption,description,providername & echo ####User Info#### & net user & echo ####Startup Info#### & wmic startup get caption,command & echo ####Firewallinfo#### & netsh firewall show state "
netsh wlan export profile
C:\Windows\system32\cmd.exe /c "netsh wlan show profile
这些命令会从剪贴板复制截图并收集系统相关信息,如系统信息、硬盘信息、用户信息、防火墙信息以及 WiFi 信息。在将信息回传给攻击者前要将其存储在本地,在 C:\Users<user>\AppData\Local\Temp\ 中创建一个以 UUID 命名的文件夹。
收集的数据
每个文本文件都包含 Telegram 频道的 URL,如下所示:
Telegram 信息
文件使用与文件夹同名的 UUID 压缩成 ZIP 文件,然后通过 Discord webhook 发送到 Discord 频道。
结论
数据的价值越发凸显,攻击者想要窃取数据的尝试永远不会停歇。被窃数据可能被用于勒索、间谍活动,世界上也不断涌现出新的玩家。
IOC
f96bc306a0e3bc63092a04475dd4a1bac75224df242fa9fca36388a1978ce048 95d860570b2777d7af213f9b48747d528251facada54842d7a07a5798fcbfe51 5aff2c5e65d8e4e7fa0b0c310fbaef1e1da351de34fa5f1b83bfe17eeabac7ef 34dca3c80cd5125091e6e4de02e86dcc6a2a6f9900e058111e457c9bce6117c0 c56b23602949597352d99aff03411d620b7a5996da2cab91368de275dcfbaa44 hXXps://discord[.]com/api/webhooks/1139506512302194789/X_VYZdAHscWQNKWvya9KWqqqTK6UjVvS86_kUy8P8OyCcPhKykCQpEqf93S_qDFVuzp8