Az EvilExtractor adatokat akar lopni

Az EvilExtractor egy rosszindulatú eszköz, amely a Windows operációs rendszereket célozza meg adatok és fájlok végponti eszközökről való kinyerésére. Moduljai FTP-szolgáltatáson keresztül működnek, és a Kodex nevű cég fejlesztette ki, amely azt állítja, hogy oktatási eszköz. A FortiGuard Labs kutatása azonban azt mutatja, hogy a kiberbűnözők aktívan használják fel információlopásra.

Az evilextractor.com webhelyhez kapcsolódó rosszindulatú tevékenységek jelentősen megnövekedtek 2023 márciusában. A FortiGuard Labs március 30-án egy adathalász e-mail kampányban figyelte meg ezt a kártevőt, és a jelentésében szereplő mintákra vezette vissza. A rosszindulatú program legitim fájlnak, például Adobe PDF- vagy Dropbox-fájlnak van álcázva, de megnyitása után rosszindulatú PowerShell-tevékenységeket indít el. A kártevő olyan funkciókat is tartalmaz, amelyek ellenőrzik a környezetet és a virtualizációt. A rosszindulatú program fő célja, hogy ellopja a böngészőadatokat és információkat a feltört rendszerekről, majd továbbítsa azokat a támadókhoz.

A Fortinet jelentése szerint az általuk megfigyelt támadások egy adathalász e-maillel kezdődtek, amely egy tömörített futtatható mellékletet tartalmazott, legitim PDF-nek vagy Dropbox-fájlnak álcázva. Megnyitása után elindít egy .NET-betöltőt, amely egy kódolt PowerShell-szkriptet használ az EvilExtractor végrehajtható fájl elindításához. Az első indításkor a kártevő ellenőrzi a rendszer helyi idejét és gazdagépnevét, hogy kiderüljön, virtuális környezetben vagy homokozóban fut-e, ebben az esetben kilép.

Az EvilExtractor három további Python-összetevőt tartalmaz: „KK2023.zip”, „Confirm.zip” és „MnMs.zip”. Az első program a cookie-kat, a böngészési előzményeket és a mentett jelszavakat kinyeri többek között a Google Chrome, a Microsoft Edge, az Opera és a Firefox programokból. A másik modul egy kulcsnaplózó, amely rögzíti a billentyűleütéseket és elmenti őket egy helyi mappába. A harmadik fájl egy webkamera kivonó, amely csendesen bekapcsolja a webkamerát, videót vagy képeket rögzíthet, és feltöltheti a rögzítést a támadó FTP-kiszolgálójára. A kártevő számos dokumentum- és médiafájltípust is kiszűr az Asztal és a Letöltések mappából, képernyőképeket készít, és minden ellopott adatot elküld kezelőinek. Ezenkívül a „Kodex ransomware” modul be van ágyazva a betöltőbe, és ha aktiválva van, letölt egy további fájlt ("zzyy.zip") a termék webhelyéről, hogy létrehozzon egy jelszóval védett archívumot, amely az áldozat fájljait tartalmazza.

Hogyan terjeszthetnek a fenyegetés szereplői az EvilExtractorhoz hasonló rosszindulatú programokat?

A fenyegetés szereplői az EvilExtractorhoz hasonló rosszindulatú programokat terjeszthetnek különféle taktikákkal, például:

  • Adathalász e-mailek: A támadók olyan adathalász e-maileket hozhatnak létre, amelyek megbízható forrásból, például bankból vagy népszerű online szolgáltatásból származnak, és mellékleteket vagy linkeket tartalmazhatnak, amelyek legitim fájlnak álcázott rosszindulatú fájlokhoz, például PDF-ekhez vagy Dropbox-fájlokhoz érkeznek. Miután az áldozat megnyitja a fájlt, a rosszindulatú program telepíthető a rendszerére.
  • Rosszindulatú reklámozás: A támadók rosszindulatú programokat is terjeszthetnek rosszindulatú hirdetések révén, ami magában foglalja a legális webhelyeken megjelenő rosszindulatú hirdetések létrehozását. Amikor a felhasználó a hirdetésre kattint, az egy olyan webhelyre irányítja át, amely rosszindulatú programokat telepít a rendszerére.
  • Támadások: Az ilyen típusú támadások során a támadók egy adott webhelyet céloznak meg, amelyet valószínűleg az általuk tervezett áldozatok látogatnak meg. Rosszindulatú programokkal fertőzik meg a webhelyet, és amikor az áldozat felkeresi az oldalt, rendszerüket megfertőzik kártevőkkel.
  • Drive-by letöltések: A támadók Drive-by letöltésekkel is telepíthetnek rosszindulatú programokat az áldozat rendszerére. Ez a fajta támadás magában foglalja a rosszindulatú kód bejuttatását a legális webhelyekre. Amikor egy felhasználó felkeresi a fertőzött webhelyet, a rosszindulatú kód letöltésre kerül a rendszerére a tudta vagy beleegyezése nélkül.
  • Social Engineering: A támadók social engineering taktikákat alkalmazhatnak, hogy rávegyék az áldozatokat, hogy rosszindulatú programokat telepítsenek rendszerükre. Például létrehozhatnak hamis szoftverfrissítéseket vagy víruskereső programokat, amelyek valójában álcázott rosszindulatú programok.

Az ilyen típusú támadások elleni védelem érdekében elengedhetetlen a jó kiberbiztonsági higiénia gyakorlása, például a rendszer és a szoftver naprakészen tartása, erős jelszavak használata, valamint az e-mail mellékletek megnyitásakor vagy a hivatkozásokra való kattintáskor.

Zaib -Ig
April 24, 2023
Malware
Magyar
April 24, 2023
Malware

Népszerű Bejegyzések

A Microsoft arra figyelmeztet, hogy az állam által támogatott...

5 days ezelőtt

Trojan Al11 Malware Detection

11 months ezelőtt

„Az iCloudját feltörték” és „Az iPhone-ját feltörték” előugró...

7 months ezelőtt

A Pinaview egy teljes funkcionalitású adware alkalmazás

10 months ezelőtt

Mi az a Lucky Ransomware?

7 months ezelőtt

„American Express – Frissítse fiókinformációit” E-mail átverés

6 months ezelőtt
Magyar
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Itthon

Termékek

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Támogatás

Súgó fájlok GYIK Downloads Inquiries & Support

Vállalat

Rólunk Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Adatvédelmi irányelvek Cookie-szabályzat Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

A Windows a Microsoft védjegye az Egyesült Államokban és más országokban.
A Mac, az iPhone, az iPad és az App Store az Apple Inc. védjegye az Egyesült Államokban és más országokban.
Az iOS a Cisco Systems, Inc. és/vagy leányvállalatainak bejegyzett védjegye az Egyesült Államokban és bizonyos más országokban.
Az Android és a Google Play a Google LLC védjegye.