EvilExtractor cerca di rubare dati

EvilExtractor è uno strumento dannoso che prende di mira i sistemi operativi Windows per estrarre dati e file dai dispositivi endpoint. I suoi moduli funzionano tramite un servizio FTP e sono stati sviluppati da una società chiamata Kodex, che sostiene che sia uno strumento educativo. Tuttavia, la ricerca di FortiGuard Labs mostra che i criminali informatici lo utilizzano attivamente per rubare informazioni.

L'attività dannosa correlata a evilextractor.com è aumentata in modo significativo nel marzo 2023. FortiGuard Labs ha osservato questo malware in una campagna e-mail di phishing il 30 marzo e lo ha fatto risalire ai campioni inclusi nel loro rapporto. Il malware è mascherato da un file legittimo come un file Adobe PDF o Dropbox, ma una volta aperto avvia attività dannose di PowerShell. Il malware contiene anche funzioni che controllano l'ambiente e controllano la virtualizzazione. L'obiettivo principale del malware è rubare i dati e le informazioni del browser dai sistemi compromessi e quindi incanalarli verso gli aggressori.

Secondo il rapporto di Fortinet, gli attacchi osservati sono iniziati con un'e-mail di phishing che conteneva un allegato eseguibile compresso camuffato da file PDF o Dropbox legittimo. Una volta aperto, avvia un caricatore .NET che utilizza uno script PowerShell codificato per avviare un eseguibile EvilExtractor. Al primo avvio, il malware controlla l'ora locale e il nome host del sistema per vedere se è in esecuzione in un ambiente virtuale o sandbox, nel qual caso uscirà.

EvilExtractor include tre componenti Python aggiuntivi: "KK2023.zip", "Confirm.zip" e "MnMs.zip". Il primo programma estrae cookie, cronologia di navigazione e password salvate da Google Chrome, Microsoft Edge, Opera e Firefox, tra gli altri programmi. L'altro modulo è un key logger che registra i tasti premuti e li salva in una cartella locale. Il terzo file è un estrattore di webcam che può accendere silenziosamente la webcam, acquisire video o immagini e caricare l'acquisizione sul server FTP dell'aggressore. Il malware esfiltra anche molti tipi di documenti e file multimediali dalle cartelle Desktop e Download, acquisisce schermate e invia tutti i dati rubati ai suoi operatori. Inoltre, il modulo "Kodex ransomware" è annidato nel caricatore e, se attivato, scarica un file aggiuntivo ("zzyy.zip") dal sito Web del prodotto per creare un archivio protetto da password contenente i file della vittima.

In che modo gli attori delle minacce possono diffondere malware simili a EvilExtractor?

Gli attori delle minacce possono diffondere malware simili a EvilExtractor utilizzando varie tattiche, come:

  • E-mail di phishing: gli aggressori possono creare e-mail di phishing che sembrano provenire da una fonte attendibile, come una banca o un popolare servizio online, e includere allegati o collegamenti a file dannosi camuffati da file legittimi, come file PDF o Dropbox. Una volta che la vittima apre il file, il malware può essere installato sul proprio sistema.
  • Malvertising: gli aggressori possono anche diffondere malware attraverso il malvertising, che comporta la creazione di annunci dannosi che vengono visualizzati su siti Web legittimi. Quando un utente fa clic sull'annuncio, viene reindirizzato a un sito Web che installa malware sul proprio sistema.
  • Attacchi Watering Hole: in questo tipo di attacco, gli aggressori prendono di mira un sito Web specifico che potrebbe essere visitato dalle vittime designate. Infettano il sito Web con malware e quando la vittima visita il sito, il suo sistema viene infettato da malware.
  • Download drive-by: gli aggressori possono anche utilizzare i download drive-by per installare malware sul sistema di una vittima. Questo tipo di attacco comporta l'iniezione di codice dannoso in siti Web legittimi. Quando un utente visita il sito Web infetto, il codice dannoso viene scaricato sul proprio sistema a sua insaputa o consenso.
  • Ingegneria sociale: gli aggressori possono utilizzare tattiche di ingegneria sociale per indurre le vittime a installare malware sui propri sistemi. Ad esempio, possono creare falsi aggiornamenti software o programmi antivirus che in realtà sono malware sotto mentite spoglie.

Per proteggersi da questi tipi di attacchi, è essenziale praticare una buona igiene della sicurezza informatica, come mantenere il sistema e il software aggiornati, utilizzare password complesse ed essere cauti quando si aprono allegati di posta elettronica o si fa clic sui collegamenti.

April 24, 2023
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.