EvilExtractor probeert gegevens te stelen

EvilExtractor is een kwaadaardige tool die zich richt op Windows-besturingssystemen om gegevens en bestanden van eindpuntapparaten te extraheren. De modules werken via een FTP-service en zijn ontwikkeld door een bedrijf genaamd Kodex, dat beweert dat het een educatief hulpmiddel is. Uit onderzoek van FortiGuard Labs blijkt echter dat cybercriminelen het actief gebruiken om informatie te stelen.

Kwaadaardige activiteit met betrekking tot evilextractor.com nam in maart 2023 aanzienlijk toe. FortiGuard Labs observeerde deze malware in een phishing-e-mailcampagne op 30 maart en herleidde deze tot de voorbeelden in hun rapport. De malware is vermomd als een legitiem bestand, zoals een Adobe PDF- of Dropbox-bestand, maar eenmaal geopend, initieert het PowerShell-kwaadaardige activiteiten. De malware bevat ook functies die de omgeving controleren en zo controleren op virtualisatie. Het belangrijkste doel van de malware is om browsergegevens en -informatie van gecompromitteerde systemen te stelen en deze vervolgens naar de aanvallers te leiden.

Volgens het rapport van Fortinet begonnen de waargenomen aanvallen met een phishing-e-mail met een gecomprimeerde uitvoerbare bijlage vermomd als een legitiem pdf- of Dropbox-bestand. Eenmaal geopend, start het een .NET-lader die een gecodeerd PowerShell-script gebruikt om een uitvoerbaar bestand van EvilExtractor te starten. Bij de eerste keer opstarten controleert de malware de lokale tijd en hostnaam van het systeem om te zien of het in een virtuele omgeving of in een sandbox draait. In dat geval wordt het afgesloten.

EvilExtractor bevat drie extra Python-componenten: "KK2023.zip", "Confirm.zip" en "MnMs.zip." Het eerste programma extraheert cookies, browsegeschiedenis en opgeslagen wachtwoorden uit onder andere Google Chrome, Microsoft Edge, Opera en Firefox. De andere module is een keylogger die toetsaanslagen registreert en opslaat in een lokale map. Het derde bestand is een webcam-extractor die stilletjes de webcam kan inschakelen, video of afbeeldingen kan vastleggen en de opname kan uploaden naar de FTP-server van de aanvaller. De malware exfiltreert ook veel document- en mediabestandstypen uit de mappen Desktop en Downloads, legt schermafbeeldingen vast en stuurt alle gestolen gegevens naar zijn operators. Bovendien is de 'Kodex ransomware'-module genest in de lader en, indien geactiveerd, downloadt een extra bestand ("zzyy.zip") van de website van het product om een met een wachtwoord beveiligd archief aan te maken met de bestanden van het slachtoffer.

Hoe kunnen bedreigingsactoren malware verspreiden, vergelijkbaar met EvilExtractor?

Bedreigingsactoren kunnen malware verspreiden die vergelijkbaar is met EvilExtractor met behulp van verschillende tactieken, zoals:

  • Phishing-e-mails: aanvallers kunnen phishing-e-mails maken die afkomstig lijken te zijn van een vertrouwde bron, zoals een bank of een populaire online dienst, en bijlagen of links bevatten naar schadelijke bestanden die zijn vermomd als legitieme bestanden, zoals pdf's of Dropbox-bestanden. Zodra het slachtoffer het bestand opent, kan de malware op hun systeem worden geïnstalleerd.
  • Malvertising: aanvallers kunnen ook malware verspreiden via malvertising, waarbij schadelijke advertenties worden gemaakt die op legitieme websites worden weergegeven. Wanneer een gebruiker op de advertentie klikt, wordt deze omgeleid naar een website die malware op zijn systeem installeert.
  • Watering Hole-aanvallen: bij dit type aanval richten aanvallers zich op een specifieke website die waarschijnlijk zal worden bezocht door hun beoogde slachtoffers. Ze infecteren de website met malware en wanneer het slachtoffer de site bezoekt, wordt hun systeem geïnfecteerd met malware.
  • Drive-by downloads: aanvallers kunnen ook drive-by downloads gebruiken om malware op het systeem van een slachtoffer te installeren. Bij dit type aanval wordt schadelijke code in legitieme websites geïnjecteerd. Wanneer een gebruiker de geïnfecteerde website bezoekt, wordt de schadelijke code zonder medeweten of toestemming op zijn systeem gedownload.
  • Social engineering: aanvallers kunnen social engineering-tactieken gebruiken om slachtoffers te misleiden zodat ze malware op hun systemen installeren. Ze kunnen bijvoorbeeld valse software-updates of antivirusprogramma's maken die eigenlijk vermomde malware zijn.

Om u tegen dit soort aanvallen te beschermen, is het essentieel om een goede cyberbeveiligingshygiëne toe te passen, zoals uw systeem en software up-to-date houden, sterke wachtwoorden gebruiken en voorzichtig zijn bij het openen van e-mailbijlagen of het klikken op links.

Tegen Zaib
April 24, 2023
Malware
Nederlands
April 24, 2023
Malware

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

5 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.