EvilExtractor cherche à voler des données

EvilExtractor est un outil malveillant qui cible les systèmes d'exploitation Windows pour extraire des données et des fichiers à partir d'appareils terminaux. Ses modules fonctionnent via un service FTP et ont été développés par une société nommée Kodex, qui prétend qu'il s'agit d'un outil pédagogique. Cependant, les recherches de FortiGuard Labs montrent que les cybercriminels l'utilisent activement pour voler des informations.

Les activités malveillantes liées à evilextractor.com ont considérablement augmenté en mars 2023. FortiGuard Labs a observé ce logiciel malveillant dans une campagne d'e-mails de phishing le 30 mars et l'a retracé jusqu'aux échantillons inclus dans son rapport. Le logiciel malveillant est déguisé en fichier légitime tel qu'un fichier Adobe PDF ou Dropbox, mais une fois ouvert, il lance des activités malveillantes PowerShell. Le logiciel malveillant contient également des fonctions qui vérifient l'environnement et qui vérifient la virtualisation. L'objectif principal du logiciel malveillant est de voler les données et les informations du navigateur des systèmes compromis, puis de les acheminer vers les attaquants.

Selon le rapport de Fortinet, les attaques qu'ils ont observées ont commencé par un e-mail de phishing contenant une pièce jointe exécutable compressée déguisée en fichier PDF ou Dropbox légitime. Une fois ouvert, il lance un chargeur .NET qui utilise un script PowerShell codé pour lancer un exécutable EvilExtractor. Lors du premier lancement, le logiciel malveillant vérifie l'heure locale et le nom d'hôte du système pour voir s'il s'exécute dans un environnement virtuel ou un bac à sable, auquel cas il se fermera.

EvilExtractor inclut trois composants Python supplémentaires : "KK2023.zip", "Confirm.zip" et "MnMs.zip". Le premier programme extrait les cookies, l'historique de navigation et les mots de passe enregistrés de Google Chrome, Microsoft Edge, Opera et Firefox, entre autres programmes. L'autre module est un enregistreur de frappe qui enregistre les frappes et les enregistre dans un dossier local. Le troisième fichier est un extracteur de webcam qui peut allumer silencieusement la webcam, capturer des vidéos ou des images et télécharger la capture sur le serveur FTP de l'attaquant. Le logiciel malveillant exfiltre également de nombreux types de documents et de fichiers multimédias des dossiers Bureau et Téléchargements, capture des captures d'écran et envoie toutes les données volées à ses opérateurs. De plus, le module 'Kodex ransomware' est imbriqué dans le chargeur et, s'il est activé, télécharge un fichier supplémentaire ("zzyy.zip") depuis le site Web du produit pour créer une archive protégée par mot de passe contenant les fichiers de la victime.

Comment les acteurs de la menace peuvent-ils propager des logiciels malveillants similaires à EvilExtractor ?

Les acteurs de la menace peuvent propager des logiciels malveillants similaires à EvilExtractor en utilisant diverses tactiques, telles que :

  • E-mails de phishing : les attaquants peuvent créer des e-mails de phishing qui semblent provenir d'une source fiable, telle qu'une banque ou un service en ligne populaire, et inclure des pièces jointes ou des liens vers des fichiers malveillants déguisés en fichiers légitimes, tels que des fichiers PDF ou Dropbox. Une fois que la victime a ouvert le fichier, le logiciel malveillant peut être installé sur son système.
  • Publicité malveillante : les attaquants peuvent également propager des logiciels malveillants par le biais de la publicité malveillante, qui consiste à créer des publicités malveillantes qui apparaissent sur des sites Web légitimes. Lorsqu'un utilisateur clique sur l'annonce, celle-ci le redirige vers un site Web qui installe des logiciels malveillants sur son système.
  • Attaques Watering Hole : Dans ce type d'attaque, les attaquants ciblent un site Web spécifique qui est susceptible d'être visité par leurs victimes. Ils infectent le site Web avec des logiciels malveillants, et lorsque la victime visite le site, son système est infecté par des logiciels malveillants.
  • Téléchargements intempestifs : les attaquants peuvent également utiliser des téléchargements intempestifs pour installer des logiciels malveillants sur le système d'une victime. Ce type d'attaque consiste à injecter du code malveillant dans des sites Web légitimes. Lorsqu'un utilisateur visite le site Web infecté, le code malveillant est téléchargé sur son système à son insu ou sans son consentement.
  • Ingénierie sociale : les attaquants peuvent utiliser des tactiques d'ingénierie sociale pour inciter les victimes à installer des logiciels malveillants sur leurs systèmes. Par exemple, ils peuvent créer de fausses mises à jour logicielles ou des programmes antivirus qui sont en fait des logiciels malveillants déguisés.

Pour se protéger contre ces types d'attaques, il est essentiel de pratiquer une bonne hygiène de cybersécurité, comme maintenir votre système et vos logiciels à jour, utiliser des mots de passe forts et être prudent lorsque vous ouvrez des pièces jointes ou cliquez sur des liens.

Par Zaib
April 24, 2023
Malware
Français
April 24, 2023
Malware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.