EvilExtractor søger at stjæle data

EvilExtractor er et ondsindet værktøj, der retter sig mod Windows-operativsystemer for at udtrække data og filer fra slutpunktsenheder. Dens moduler fungerer gennem en FTP-tjeneste og blev udviklet af et firma ved navn Kodex, som hævder, at det er et uddannelsesværktøj. Forskning fra FortiGuard Labs viser dog, at cyberkriminelle aktivt bruger det til at stjæle information.

Ondsindet aktivitet relateret til evilextractor.com steg markant i marts 2023. FortiGuard Labs observerede denne malware i en phishing-mailkampagne den 30. marts og sporede den tilbage til prøverne inkluderet i deres rapport. Malwaren er forklædt som en legitim fil, såsom en Adobe PDF- eller Dropbox-fil, men når den først er åbnet, starter den PowerShell-ondsindede aktiviteter. Malwaren indeholder også funktioner, der kontrollerer miljøet, og som kontrollerer for virtualisering. Malwarens hovedmål er at stjæle browserdata og informationer fra kompromitterede systemer og derefter sende dem til angriberne.

Ifølge Fortinets rapport startede de angreb, de observerede, med en phishing-e-mail, der indeholdt en komprimeret eksekverbar vedhæftet fil forklædt som en legitim PDF- eller Dropbox-fil. Når den er åbnet, starter den en .NET-indlæser, der bruger et kodet PowerShell-script til at starte en eksekverbar EvilExtractor. Ved den første lancering tjekker malwaren systemets lokale tid og værtsnavn for at se, om det kører i et virtuelt miljø eller sandkasse, i hvilket tilfælde det afsluttes.

EvilExtractor inkluderer tre yderligere Python-komponenter: "KK2023.zip," "Confirm.zip" og "MnMs.zip." Det første program udtrækker cookies, browserhistorik og gemte adgangskoder fra blandt andet Google Chrome, Microsoft Edge, Opera og Firefox. Det andet modul er en nøglelogger, der registrerer tastetryk og gemmer dem i en lokal mappe. Den tredje fil er en webcam-udtrækker, der stille og roligt kan tænde for webcam, optage video eller billeder og uploade optagelsen til angriberens FTP-server. Malwaren eksfiltrerer også mange dokument- og mediefiltyper fra mapperne Desktop og Downloads, fanger skærmbilleder og sender alle stjålne data til sine operatører. Derudover er 'Kodex ransomware'-modulet indlejret i loaderen og, hvis det er aktiveret, downloader det en ekstra fil ("zzyy.zip") fra produktets websted for at oprette et adgangskodebeskyttet arkiv, der indeholder ofrets filer.

Hvordan kan trusselsaktører sprede malware svarende til EvilExtractor?

Trusselaktører kan sprede malware svarende til EvilExtractor ved hjælp af forskellige taktikker, såsom:

  • Phishing-e-mails: Angribere kan oprette phishing-e-mails, der ser ud til at være fra en pålidelig kilde, såsom en bank eller en populær onlinetjeneste, og inkludere vedhæftede filer eller links til ondsindede filer forklædt som legitime filer, såsom PDF-filer eller Dropbox-filer. Når offeret åbner filen, kan malwaren installeres på deres system.
  • Malvertising: Angribere kan også sprede malware gennem malvertising, som involverer oprettelse af ondsindede annoncer, der vises på legitime websteder. Når en bruger klikker på annoncen, omdirigerer den vedkommende til et websted, der installerer malware på deres system.
  • Vandhulsangreb: I denne type angreb målretter angribere sig mod et specifikt websted, som sandsynligvis vil blive besøgt af deres tilsigtede ofre. De inficerer webstedet med malware, og når offeret besøger webstedet, er deres system inficeret med malware.
  • Drive-by-downloads: Angribere kan også bruge drive-by-downloads til at installere malware på et offers system. Denne type angreb involverer indsprøjtning af ondsindet kode på legitime websteder. Når en bruger besøger det inficerede websted, downloades den ondsindede kode til deres system uden deres viden eller samtykke.
  • Social Engineering: Angribere kan bruge social engineering taktik til at narre ofre til at installere malware på deres systemer. For eksempel kan de lave falske softwareopdateringer eller antivirusprogrammer, der faktisk er malware i forklædning.

For at beskytte mod disse typer angreb er det vigtigt at praktisere god cybersikkerhedshygiejne, såsom at holde dit system og software opdateret, bruge stærke adgangskoder og være forsigtig, når du åbner vedhæftede filer i e-mails eller klikker på links.

I Zaib
April 24, 2023
Malware
Dansk
April 24, 2023
Malware

Populære opslag

Microsoft advarer om statsstøttede trusselsaktører, der bruger...

5 days siden

Trojan Al11 Malware Detektion

11 months siden

Pop-ups "Din iCloud bliver hacket" og "Din iPhone er blevet...

7 months siden

Pinaview er en fuldt udstyret adware-app

10 months siden

Hvad er Lucky Ransomware?

7 months siden

'American Express - Opdater dine kontooplysninger' E-mail-fidus

6 months siden
Dansk
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.