EvilExtractor søker å stjele data

EvilExtractor er et ondsinnet verktøy som retter seg mot Windows-operativsystemer for å trekke ut data og filer fra endepunktenheter. Modulene fungerer gjennom en FTP-tjeneste og ble utviklet av et selskap ved navn Kodex, som hevder det er et pedagogisk verktøy. Forskning fra FortiGuard Labs viser imidlertid at nettkriminelle aktivt bruker det til å stjele informasjon.

Ondsinnet aktivitet relatert til evilextractor.com økte betydelig i mars 2023. FortiGuard Labs observerte denne skadelige programvaren i en phishing-e-postkampanje 30. mars og sporet den tilbake til prøvene inkludert i rapporten deres. Skadevaren er forkledd som en legitim fil, for eksempel en Adobe PDF- eller Dropbox-fil, men når den er åpnet, starter den ondsinnede PowerShell-aktiviteter. Skadevaren inneholder også funksjoner som sjekker miljøet og som sjekker for virtualisering. Skadevarens hovedmål er å stjele nettleserdata og informasjon fra kompromitterte systemer og deretter sende den til angriperne.

I følge Fortinets rapport startet angrepene de observerte med en phishing-e-post som inneholdt et komprimert kjørbart vedlegg forkledd som en legitim PDF- eller Dropbox-fil. Når den er åpnet, starter den en .NET-laster som bruker et kodet PowerShell-skript for å starte en kjørbar EvilExtractor. Ved den første lanseringen sjekker skadevaren systemets lokale tid og vertsnavn for å se om det kjører i et virtuelt miljø eller en sandkasse, i så fall vil den avsluttes.

EvilExtractor inkluderer tre ekstra Python-komponenter: «KK2023.zip», «Confirm.zip» og «MnMs.zip». Det første programmet trekker ut informasjonskapsler, nettleserhistorikk og lagrede passord fra blant annet Google Chrome, Microsoft Edge, Opera og Firefox. Den andre modulen er en nøkkellogger som registrerer tastetrykk og lagrer dem i en lokal mappe. Den tredje filen er en webkamerauttrekker som stille kan slå på webkameraet, ta opp video eller bilder og laste opp opptaket til angriperens FTP-server. Skadevaren eksfiltrerer også mange dokument- og mediefiltyper fra skrivebords- og nedlastingsmappene, tar skjermbilder og sender alle stjålne data til operatørene. I tillegg er 'Kodex ransomware'-modulen nestet i lasteren og, hvis den er aktivert, laster den ned en ekstra fil ("zzyy.zip") fra produktets nettside for å opprette et passordbeskyttet arkiv som inneholder offerets filer.

Hvordan kan trusselaktører spre skadelig programvare som ligner på EvilExtractor?

Trusselaktører kan spre skadelig programvare som ligner på EvilExtractor ved å bruke ulike taktikker, for eksempel:

  • Phishing-e-poster: Angripere kan lage phishing-e-poster som ser ut til å komme fra en pålitelig kilde, for eksempel en bank eller en populær nettjeneste, og inkludere vedlegg eller lenker til ondsinnede filer forkledd som legitime filer, som PDF-er eller Dropbox-filer. Når offeret åpner filen, kan skadelig programvare installeres på systemet deres.
  • Malvertising: Angripere kan også spre skadelig programvare gjennom malvertising, som innebærer å lage ondsinnede annonser som vises på legitime nettsteder. Når en bruker klikker på annonsen, omdirigerer den dem til et nettsted som installerer skadelig programvare på systemet deres.
  • Vannhullsangrep: I denne typen angrep retter angripere seg mot et bestemt nettsted som sannsynligvis vil bli besøkt av deres tiltenkte ofre. De infiserer nettstedet med skadelig programvare, og når offeret besøker nettstedet, er systemet deres infisert med skadelig programvare.
  • Drive-by-nedlastinger: Angripere kan også bruke drive-by-nedlastinger for å installere skadelig programvare på et offers system. Denne typen angrep innebærer å injisere ondsinnet kode på legitime nettsteder. Når en bruker besøker det infiserte nettstedet, lastes den skadelige koden ned til systemet deres uten deres viten eller samtykke.
  • Sosial teknikk: Angripere kan bruke sosial ingeniør-taktikk for å lure ofre til å installere skadelig programvare på systemene deres. For eksempel kan de lage falske programvareoppdateringer eller antivirusprogrammer som faktisk er skadelig programvare i forkledning.

For å beskytte mot denne typen angrep er det viktig å praktisere god cybersikkerhetshygiene, for eksempel å holde systemet og programvaren oppdatert, bruke sterke passord og være forsiktig når du åpner e-postvedlegg eller klikker på lenker.

Innen Zaib
April 24, 2023
Malware
Norsk
April 24, 2023
Malware

Populære innlegg

Microsoft advarer statsstøttede trusselaktører bruker AI i angrep

5 days siden

Trojan Al11 Malware Deteksjon

11 months siden

Popup-vinduer "Din iCloud blir hacket" og "Din iPhone har...

7 months siden

Pinaview er en Adware-app med alle funksjoner

10 months siden

Hva er Lucky Ransomware?

7 months siden

«American Express – Oppdater kontoinformasjonen din»...

6 months siden
Norsk
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hjem

Products

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files Spørsmål og svar Downloads Inquiries & Support

Selskap

About Us Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Personvern Cookie-policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemerke for Microsoft, registrert i USA og andre land.
Mac, iPhone, iPad og App Store er varemerker for Apple Inc., registrert i USA og andre land.
iOS er et registrert varemerke for Cisco Systems, Inc. og/eller dets tilknyttede selskaper i USA og visse andre land.
Android og Google Play er varemerker for Google LLC.