信息窃密木马入局新玩家：ExelaStealer

2023 年，信息窃密木马纷纷涌现，既有 RedLine、Raccoon 和 Vidar 等这个市场中的重要玩家，也有 SaphireStealer 等刚入局的新玩家。近日，研究人员发现了新的信息窃密木马：ExelaStealer。ExelaStealer 最早在 2023 年 8 月被披露。

ExelaStealer 是开源的信息窃密木马，攻击者也提供付费定制化改造服务。该恶意软件使用 Python 编写，可以从 Windows 失陷主机窃取敏感信息（如密码、信用卡、Cookie 与 Session 等）。

宣传广告

ExelaStealer 在暗网宣传的广告中表示，攻击者提供开源版本与付费版本，广告也对功能进行了深入介绍：

广告宣传

广告由 ExelaStealer 的运营方发布，账号是 quicaxd：

发布广告

如上所示，该恶意软件一个月的使用费为 20 美元，三个月的使用费为 45 美元，终身订阅费为 120 美元。此外，攻击者还提供了 Telegram 频道，分析时仍处于活动状态。Telegram 主页介绍了购买的付费版本，与开源版本的 GitHub 仓库地址。

Telegram 广告

恶意软件构建

任何人都可以使用免费提供的源代码创建 ExelaStealer 恶意文件：

构建选项

恶意软件只能在 Windows 机器上编译与打包，恶意软件主要代码在名为 Exela.py的文件中：

源代码

构建过程会使用批处理文件启动程序，再调用 Python 与 builder.py脚本文件：

构建文件

构建工具使用名为 obf.py的文件来进行必要的处理混淆 ExelaStealer 代码，阻碍分析。

代码混淆

混淆后的代码会写入名为 Obfuscated.py 的文件中，可供攻击者使用。

初始感染向量

研究人员发现的二进制文件似乎是特定攻击行动的一部分，被发现的诱饵文档也证明了这一点。不幸的是，研究人员并未发现最初的感染向量。当然，初始感染可以通过多种方式实现。

Sirket-ruhsat-pdf.exe

该二进制文件是最初阶段使用的，旨在生成 sirket-ruhsat-pdf.exe 并启动 PDF 查看软件并向用户显示诱饵文档 BNG 824 ruhsat.pdf。后续，会将这两个文件写入 C 盘的根目录中：

释放的文件

BNG 824 ruhsat.pdf

sirket-ruhsat-pdf.exe 会自动尝试打开 BNG 824 ruhsat.pdf 文件，该 PDF 文件是 Dacia Duster 的土耳其车辆登记证书，文档本身完全无害，只是对受害者的诱饵。

诱饵文档

Sirket-ruhsat-pdf.exe

sirket-ruhsat-pdf.exe 是一个 PyInstaller 可执行文件，可以通过 pyinstxtractor 等分析工具来对内容进行检查：

文件内容

该可执行文件可能使用无效的证书进行签名，并使用微软合法的进程名称 Runtime Broker。下图为 Obfuscated.py 编译后的版本，使用 pycdc 等分析工具也可以对代码进行反编译：

反编译代码

不幸的是，所有的函数名称与变量仍然是被混淆的，增加了分析人员所需的分析时间。然而这并不意味着无法分析，其中包含大量数据：

反编译脚本的数据

文件末尾的函数是用于解码与执行的：

解码函数

分析人员将代码与数据进行处理，获取了完整的代码，如下所示。可以发现，这就是 Exela.py 的代码：

解码后的代码

Sirket-ruhsat-pdf.exe 会在新进程中生成自身，如下所示：

进程信息

ExelaStealer 随后会运行以下两个命令：

• C:\Windows\system32\cmd.exe /c "ver"
• wmic csproduct get uuid

命令会收集 Windows 系统的版本与主机的 UUID，后续执行 base64 编码的 PowerShell 命令：

PowerShell 命令

解码后，该命令会获取屏幕截图：

解码后的 PowerShell 命令

接下来会执行一系列 PowerShell 命令：

powershell.exe -Command " $clipboardData = Get-Clipboard -Format Image $destinationPath = \"C:\Users\user\AppData\Local\Temp\00000000-0000-0000-0000-D05099DB2397\last_clipboard_image.png\" $clipboardData.Save($destinationPath)"
C:\Windows\system32\cmd.exe /c "echo ####System Info#### & systeminfo & echo ####System Version#### & ver & echo ####Host Name#### & hostname & echo ####Environment Variable#### & set & echo ####Logical Disk#### & wmic logicaldisk get caption,description,providername & echo ####User Info#### & net user & echo ####Startup Info#### & wmic startup get caption,command & echo ####Firewallinfo#### & netsh firewall show state "
netsh wlan export profile
C:\Windows\system32\cmd.exe /c "netsh wlan show profile

（向右滑动，查看更多）

这些命令会从剪贴板复制截图并收集系统相关信息，如系统信息、硬盘信息、用户信息、防火墙信息以及 WiFi 信息。在将信息回传给攻击者前要将其存储在本地，在 C:\Users<user>\AppData\Local\Temp\ 中创建一个以 UUID 命名的文件夹。

收集的数据

每个文本文件都包含 Telegram 频道的 URL，如下所示：

Telegram 信息

文件使用与文件夹同名的 UUID 压缩成 ZIP 文件，然后通过 Discord webhook 发送到 Discord 频道。

结论

数据的价值越发凸显，攻击者想要窃取数据的尝试永远不会停歇。被窃数据可能被用于勒索、间谍活动，世界上也不断涌现出新的玩家。

IOC

f96bc306a0e3bc63092a04475dd4a1bac75224df242fa9fca36388a1978ce048 95d860570b2777d7af213f9b48747d528251facada54842d7a07a5798fcbfe51 5aff2c5e65d8e4e7fa0b0c310fbaef1e1da351de34fa5f1b83bfe17eeabac7ef 34dca3c80cd5125091e6e4de02e86dcc6a2a6f9900e058111e457c9bce6117c0 c56b23602949597352d99aff03411d620b7a5996da2cab91368de275dcfbaa44 hXXps://discord[.]com/api/webhooks/1139506512302194789/X_VYZdAHscWQNKWvya9KWqqqTK6UjVvS86_kUy8P8OyCcPhKykCQpEqf93S_qDFVuzp8