EvilExtractor busca robar datos

EvilExtractor es una herramienta maliciosa que se dirige a los sistemas operativos Windows para extraer datos y archivos de dispositivos de punto final. Sus módulos operan a través de un servicio FTP y fueron desarrollados por una empresa llamada Kodex, que afirma que es una herramienta educativa. Sin embargo, la investigación de FortiGuard Labs muestra que los ciberdelincuentes lo utilizan activamente para robar información.

La actividad maliciosa relacionada con evilextractor.com aumentó significativamente en marzo de 2023. FortiGuard Labs observó este malware en una campaña de correo electrónico de phishing el 30 de marzo y lo rastreó hasta las muestras incluidas en su informe. El malware se disfraza como un archivo legítimo, como un PDF de Adobe o un archivo de Dropbox, pero una vez abierto, inicia actividades maliciosas de PowerShell. El malware también contiene funciones que comprueban el entorno y otras que comprueban la virtualización. El objetivo principal del malware es robar datos e información del navegador de sistemas comprometidos y luego canalizarlos a los atacantes.

Según el informe de Fortinet, los ataques que observaron comenzaron con un correo electrónico de phishing que contenía un archivo adjunto ejecutable comprimido disfrazado de archivo PDF o Dropbox legítimo. Una vez abierto, inicia un cargador .NET que utiliza un script de PowerShell codificado para iniciar un ejecutable de EvilExtractor. Tras el primer lanzamiento, el malware verifica la hora local y el nombre de host del sistema para ver si se está ejecutando en un entorno virtual o sandbox, en cuyo caso se cerrará.

EvilExtractor incluye tres componentes Python adicionales: "KK2023.zip", "Confirm.zip" y "MnMs.zip". El primer programa extrae cookies, historial de navegación y contraseñas guardadas de Google Chrome, Microsoft Edge, Opera y Firefox, entre otros programas. El otro módulo es un registrador de teclas que registra las pulsaciones de teclas y las guarda en una carpeta local. El tercer archivo es un extractor de cámara web que puede encender silenciosamente la cámara web, capturar videos o imágenes y cargar la captura en el servidor FTP del atacante. El malware también extrae muchos tipos de documentos y archivos multimedia de las carpetas Escritorio y Descargas, captura capturas de pantalla y envía todos los datos robados a sus operadores. Además, el módulo 'Kodex ransomware' está anidado en el cargador y, si está activado, descarga un archivo adicional ("zzyy.zip") del sitio web del producto para crear un archivo protegido con contraseña que contiene los archivos de la víctima.

¿Cómo pueden los actores de amenazas propagar malware similar a EvilExtractor?

Los actores de amenazas pueden propagar malware similar a EvilExtractor usando varias tácticas, como:

  • Correos electrónicos de phishing: los atacantes pueden crear correos electrónicos de phishing que parecen provenir de una fuente confiable, como un banco o un servicio en línea popular, e incluir archivos adjuntos o enlaces a archivos maliciosos disfrazados de archivos legítimos, como archivos PDF o Dropbox. Una vez que la víctima abre el archivo, el malware se puede instalar en su sistema.
  • Publicidad maliciosa: los atacantes también pueden propagar malware a través de la publicidad maliciosa, que implica la creación de anuncios maliciosos que aparecen en sitios web legítimos. Cuando un usuario hace clic en el anuncio, lo redirige a un sitio web que instala malware en su sistema.
  • Ataques Watering Hole: En este tipo de ataque, los atacantes apuntan a un sitio web específico que probablemente sea visitado por sus víctimas previstas. Infectan el sitio web con malware y, cuando la víctima visita el sitio, su sistema se infecta con malware.
  • Descargas ocultas: los atacantes también pueden usar descargas ocultas para instalar malware en el sistema de la víctima. Este tipo de ataque consiste en inyectar código malicioso en sitios web legítimos. Cuando un usuario visita el sitio web infectado, el código malicioso se descarga en su sistema sin su conocimiento o consentimiento.
  • Ingeniería social: los atacantes pueden usar tácticas de ingeniería social para engañar a las víctimas para que instalen malware en sus sistemas. Por ejemplo, pueden crear actualizaciones de software falsas o programas antivirus que en realidad son malware disfrazado.

Para protegerse contra este tipo de ataques, es esencial practicar una buena higiene de ciberseguridad, como mantener su sistema y software actualizados, usar contraseñas seguras y tener cuidado al abrir archivos adjuntos de correo electrónico o hacer clic en enlaces.

En Zaib
April 24, 2023
Malware
Spanish
April 24, 2023
Malware

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 5 days

Troyano Al11 Detección de malware

Hace 11 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.