O nouă „tulpină” de malware Windows cu sursă deschisă care poate fura în secret parole și alte date sensibile devine un risc major pentru utilizatorii online. Conform firmei de securitate cibernetică Cyble, acest nou malware de furt de informații a fost numit „Exela Stelaer” și folosește clientul Discord de Windows pentru a trimite datele furate înapoi hackerilor care se află în spatele acestei campanii.

Pe lângă furtul acreditărilor de conectare, datelor personale și chiar al informațiilor financiare, malware-ul este capabil să fure date dintr-o gamă largă de aplicații și servicii online populare, inclusiv de pe rețelele sociale și platformele de jocuri, potrivit Tom’s Guide.

Exela Stealer a fost observat pentru prima dată pe 14 septembrie, pe VirusTotal

Exela Stealer a fost observat pentru prima dată pe 14 septembrie, pe VirusTotal, de către experții în securitate de la Cyble. Cu toate acestea, versiunea inițială a acestui malware a fost creată și încărcată pe GitHub în luna mai a acestui an. De atunci, la Exela au fost adăugate noi capabilități, iar malware-ul are și propriul canal oficial Telegram.

Ceea ce diferențiază Exela Stealer de alte programe malware care vizează Windows este modul în care folosește Discord pentru a exfiltra datele furate de pe computerele infectate.

Malware-ul poate fura banii de pe card și alte date ale browserului

Odată descărcat pe un computer, constructorul Exela va rula doar dacă pe computer este instalată o versiune compatibilă de Python (versiunea 3.10.0 sau 3.11.0). Abia atunci constructorul începe procesul de creare a unui fișier executabil sau .exe. Malware-ul poate fura și informații despre cardul de credit, cookie-uri și alte date ale browserului în timp ce înregistrează apăsarea tastelor și face capturi de ecran ale sistemului. Când fișierul batch generator de malware din dosarul de configurare Exela este executat, este necesară o adresă URL Discord pentru a continua. Dacă o „victimă” nu furnizează această adresă URL, se afișează un mesaj de eroare până când o face.

Exela Stealer folosește această adresă URL webhook Discord pentru a acționa ca un server la distanță pentru hackerii care au implementat malware. În esență, webhook-ul este folosit pentru a trimite toate datele furate ale unei victime înapoi către hackeri. După ce a fost instalat complet pe computerul unei victime, Exela Stealer câștigă teren prin copierea într-un din folderul local de date a aplicației. De asemenea, adaugă o intrare de pornire în Registrul Windows, astfel încât malware-ul să continue să ruleze chiar și după ce computerul infectat este repornit.

Poate fura informații de pe platformele de rețele sociale, inclusiv Instagram, X, TikTok și Reddit

Exela Stealer vizează apoi orice browser, cum ar fi Chrome, Edge, Brave, Opera sau Vivaldi, care sunt instalate pe computerul victimei. Exela Stealer poate fura o mulțime de informații de pe platformele de rețele sociale, inclusiv Instagram, X, TikTok și Reddit, pe lângă date de la Steam și Roblox.

Toate aceste date furate sunt apoi trimise înapoi hackerilor, care le pot folosi pentru a comite fraude sau chiar furturi de identitate.