La società di sicurezza informatica Cyble ha rivelato attraverso un post sul suo blog la scoperta di un nuovo ceppo malware. Questo, attivo in ambiente Windows e di natura open source, è stato soprannominato Exela Stealer.
Secondo gli esperti del settore, questo è in grado di rubare password e altri dati sensibili, oltre a poter “spiare” le sequenze di tasti digitati dalle vittime. Come è facile intuire, ciò rappresenta un grande rischio per quanto concerne la sicurezza informatica. Nel mirino, vi sarebbero app finanziarie, ma anche social media e piattaforme di gioco.
Dopo un’attenta analisi è stato possibile comprendere come Exela Stealer si appoggia a Discord per inviare agli hacker le informazioni rubate dopo l’infezione.
In seguito alla scoperta del malware, avvenuta lo scorso 14 settembre, è stato possibile notare come, in realtà, una prima versione fosse già stata caricata su GitHub a maggio 2023.
Exela Stealer ruba una quantità enorme di dati e li invia agli aggressori tramite Discord
Una volta scaricato su un computer, il builder di Exela Stealer viene eseguito solo se sul computer è installata una versione compatibile di Python (3.10.0 o 3.11.0). In tal caso, il builder avvia quindi il processo di creazione di un file eseguibile .exe.
L’utente viene poi forzato a creare un URL webhook Discord, utile per creare una sorta di server remoto sfruttato dagli hacker che hanno distribuito il malware.In sostanza, il webhook viene utilizzato per inviare ai cybercriminali tutti i dati rubati della vittima.
Dopo essere stato completamente installato sul PC della vittima, Exela Stealer ottiene un alto grado di persistenza copiandosi in una nuova cartella. Aggiunge inoltre una voce di avvio nel registro di Windows in modo che il malware continui a funzionare anche dopo il riavvio della macchina infetta.
Exela Stealer prende di mira quindi qualsiasi browser Web basato su Chromium come Chrome, Edge, Brave, Opera o Vivaldi. Oltre alle credenziali, il malware può anche rubare informazioni sulla carta di credito, cookie e altri dati del browser, oltre ad acquisire schermate del dispositivo in uso.
Nelle mire del malware, però, vi sono anche tante altre piattaforme social e non. Tra di esse figurano Instagram, X, TikTok, Reddit, ma anche Steam e Roblox.