Fortinetは10月19日(米国時間)、「Another InfoStealer Enters the Field, ExelaStealer」において、新しい情報窃取マルウェア「ExelaStealer」が登場したとして、注意を喚起した。多く利用されている情報窃取マルウェアとしては、RedLine、Raccoon、Vidarなどがあるが、新しいマルウェアの登場で情報窃取市場がさらに活気づくことが懸念されている。
Fortinetの調査部門「FortiGuard Labs」によると、ExelaStealerはオープンソースの情報窃取マルウェアで、脅威アクターから有料のカスタマイズを受けられるという。標的はWindowsプラットフォームで、パスワード、クレジットカード、Cookieとセッションデータ、キーの入力ログなどを窃取できるという。このマルウェアはダークWeb上で宣伝されており、月額20ドル、3カ月45ドル、無期限120ドルの安さで購入できるとされる。
FortiGuard Labsはこのマルウェアのサンプルの入手に成功したとして、その内部の仕組みを公開している。入手したサンプルは特定のキャンペーンで配布されていたマルウェアと推測されているが、どのような形で配布されていたかはわかっていないという。
このマルウェアは起動すると、無害なおとり文章のPDFファイルを表示する裏でさまざまな情報窃取を行い、データをzip形式でアーカイブして脅威アクターのDiscardチャネルに送信する。
FortiGuard Labsは、情報窃取市場には多くの脅威アクターが存在しているにもかかわらず、新しいマルウェアが台頭して勢いを増す現状から、情報窃取市場にはまだ参入の余地があるとして脅威の拡大に懸念を示している。また、ExelaStealerの価格の安さは参入障壁を下げるとみられており、驚異の拡大に拍車をかける恐れがある。