EvilExtractor próbuje wykraść dane

EvilExtractor to złośliwe narzędzie atakujące systemy operacyjne Windows w celu wyodrębnienia danych i plików z urządzeń końcowych. Jego moduły działają za pośrednictwem usługi FTP i zostały opracowane przez firmę o nazwie Kodex, która twierdzi, że jest to narzędzie edukacyjne. Jednak badania przeprowadzone przez FortiGuard Labs pokazują, że cyberprzestępcy aktywnie wykorzystują go do kradzieży informacji.

W marcu 2023 r. znacznie wzrosła aktywność szkodliwa związana z witryną evilextractor.com. Laboratoria FortiGuard zaobserwowały to złośliwe oprogramowanie w e-mailowej kampanii phishingowej 30 marca i powiązały je z próbkami zawartymi w ich raporcie. Szkodliwe oprogramowanie jest zamaskowane jako legalny plik, taki jak plik Adobe PDF lub Dropbox, ale po otwarciu inicjuje złośliwe działania PowerShell. Złośliwe oprogramowanie zawiera również funkcje sprawdzające środowisko oraz takie, które sprawdzają wirtualizację. Głównym celem złośliwego oprogramowania jest kradzież danych przeglądarki i informacji z zaatakowanych systemów, a następnie przekazanie ich atakującym.

Według raportu firmy Fortinet ataki, które zaobserwowali, rozpoczęły się od wiadomości e-mail typu phishing, która zawierała skompresowany wykonywalny załącznik udający legalny plik PDF lub plik Dropbox. Po otwarciu uruchamia program ładujący .NET, który używa zakodowanego skryptu PowerShell do uruchomienia pliku wykonywalnego EvilExtractor. Przy pierwszym uruchomieniu złośliwe oprogramowanie sprawdza czas lokalny systemu i nazwę hosta, aby sprawdzić, czy działa w środowisku wirtualnym lub piaskownicy, w takim przypadku zakończy działanie.

EvilExtractor zawiera trzy dodatkowe komponenty Pythona: „KK2023.zip”, „Confirm.zip” i „MnMs.zip”. Pierwszy program wyodrębnia pliki cookie, historię przeglądania i zapisane hasła między innymi z Google Chrome, Microsoft Edge, Opera i Firefox. Drugi moduł to rejestrator klawiszy, który rejestruje naciśnięcia klawiszy i zapisuje je w lokalnym folderze. Trzeci plik to ekstraktor kamery internetowej, który może cicho włączyć kamerę internetową, przechwycić wideo lub obrazy i przesłać przechwycony obraz na serwer FTP atakującego. Złośliwe oprogramowanie usuwa również wiele typów dokumentów i plików multimedialnych z folderów Desktop i Downloads, przechwytuje zrzuty ekranu i wysyła wszystkie skradzione dane do swoich operatorów. Ponadto moduł "Kodex ransomware" jest zagnieżdżony w programie ładującym i, jeśli jest aktywowany, pobiera dodatkowy plik ("zzyy.zip") ze strony internetowej produktu w celu utworzenia chronionego hasłem archiwum zawierającego pliki ofiary.

W jaki sposób cyberprzestępcy mogą rozprzestrzeniać złośliwe oprogramowanie podobne do EvilExtractor?

Zagrożenia mogą rozprzestrzeniać złośliwe oprogramowanie podobne do EvilExtractor przy użyciu różnych taktyk, takich jak:

  • Wiadomości e-mail typu phishing: osoby atakujące mogą tworzyć wiadomości typu phishing, które wydają się pochodzić z zaufanego źródła, takiego jak bank lub popularna usługa internetowa, i zawierają załączniki lub łącza do złośliwych plików podszywających się pod legalne pliki, takie jak pliki PDF lub pliki Dropbox. Gdy ofiara otworzy plik, złośliwe oprogramowanie może zostać zainstalowane w jej systemie.
  • Złośliwe reklamy: osoby atakujące mogą również rozpowszechniać złośliwe oprogramowanie poprzez złośliwe reklamy, które obejmują tworzenie złośliwych reklam wyświetlanych na legalnych stronach internetowych. Gdy użytkownik kliknie reklamę, przekierowuje go ona do strony internetowej, która instaluje złośliwe oprogramowanie w jego systemie.
  • Ataki Watering Hole: W tego typu atakach osoby atakujące celują w określoną witrynę internetową, która prawdopodobnie będzie odwiedzana przez zamierzone ofiary. Infekują witrynę złośliwym oprogramowaniem, a gdy ofiara odwiedza witrynę, jej system zostaje zainfekowany złośliwym oprogramowaniem.
  • Drive-by downloads: atakujący mogą również wykorzystywać drive-by downloads do instalowania złośliwego oprogramowania w systemie ofiary. Ten typ ataku polega na wstrzyknięciu złośliwego kodu do legalnych stron internetowych. Gdy użytkownik odwiedza zainfekowaną stronę internetową, szkodliwy kod jest pobierany do jego systemu bez jego wiedzy i zgody.
  • Inżynieria społeczna: atakujący mogą wykorzystywać taktykę inżynierii społecznej, aby nakłonić ofiary do zainstalowania złośliwego oprogramowania w ich systemach. Na przykład mogą tworzyć fałszywe aktualizacje oprogramowania lub programy antywirusowe, które w rzeczywistości są złośliwym oprogramowaniem w przebraniu.

Aby chronić się przed tego typu atakami, należy przestrzegać odpowiednich zasad bezpieczeństwa cybernetycznego, takich jak aktualizowanie systemu i oprogramowania, używanie silnych haseł oraz zachowanie ostrożności podczas otwierania załączników wiadomości e-mail lub klikania łączy.

Do Zaib
April 24, 2023
Malware
Polski
April 24, 2023
Malware

Popularne posty

Microsoft ostrzega, że urzędnicy wspierani przez państwo...

5 days temu

Wykrywanie złośliwego oprogramowania Trojan Al11

11 months temu

Wyskakujące okienka „Twój iCloud został zhakowany” i „Twój...

7 months temu

Pinaview to w pełni funkcjonalna aplikacja adware

10 months temu

Co to jest Lucky Ransomware?

7 months temu

Oszustwo e-mailowe „American Express – zaktualizuj informacje...

6 months temu
Polski
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.