EvilExtractor procura roubar dados

EvilExtractor é uma ferramenta maliciosa que tem como alvo os sistemas operacionais Windows para extrair dados e arquivos de dispositivos endpoint. Seus módulos funcionam por meio de um serviço de FTP e foram desenvolvidos por uma empresa chamada Kodex, que afirma ser uma ferramenta educacional. No entanto, a pesquisa do FortiGuard Labs mostra que os cibercriminosos o estão usando ativamente para roubar informações.

A atividade maliciosa relacionada ao evilextractor.com aumentou significativamente em março de 2023. O FortiGuard Labs observou esse malware em uma campanha de e-mail de phishing em 30 de março e o rastreou até as amostras incluídas em seu relatório. O malware é disfarçado como um arquivo legítimo, como um arquivo Adobe PDF ou Dropbox, mas, uma vez aberto, inicia atividades maliciosas do PowerShell. O malware também contém funções que verificam o ambiente e verificam a virtualização. O principal objetivo do malware é roubar dados e informações do navegador de sistemas comprometidos e, em seguida, canalizá-los para os invasores.

De acordo com o relatório da Fortinet, os ataques que eles observaram começaram com um e-mail de phishing que continha um anexo executável compactado disfarçado como um arquivo PDF ou Dropbox legítimo. Depois de aberto, ele inicia um carregador .NET que usa um script PowerShell codificado para iniciar um executável do EvilExtractor. Na primeira inicialização, o malware verifica a hora local e o nome do host do sistema para ver se está sendo executado em um ambiente virtual ou sandbox e, nesse caso, será encerrado.

O EvilExtractor inclui três componentes Python adicionais: "KK2023.zip", "Confirm.zip" e "MnMs.zip". O primeiro programa extrai cookies, histórico de navegação e senhas salvas do Google Chrome, Microsoft Edge, Opera e Firefox, entre outros programas. O outro módulo é um registrador de teclas que registra as teclas digitadas e as salva em uma pasta local. O terceiro arquivo é um extrator de webcam que pode ativar silenciosamente a webcam, capturar vídeo ou imagens e enviar a captura para o servidor FTP do invasor. O malware também exfiltra muitos tipos de documentos e arquivos de mídia das pastas Desktop e Downloads, captura capturas de tela e envia todos os dados roubados para seus operadores. Além disso, o módulo 'Kodex ransomware' está aninhado no carregador e, se ativado, baixa um arquivo adicional ("zzyy.zip") do site do produto para criar um arquivo protegido por senha contendo os arquivos da vítima.

Como os agentes de ameaças podem espalhar malware semelhante ao EvilExtractor?

Os agentes de ameaças podem espalhar malware semelhante ao EvilExtractor usando várias táticas, como:

  • E-mails de phishing: os invasores podem criar e-mails de phishing que parecem ser de uma fonte confiável, como um banco ou um serviço online popular, e incluir anexos ou links para arquivos maliciosos disfarçados de arquivos legítimos, como PDFs ou arquivos do Dropbox. Depois que a vítima abre o arquivo, o malware pode ser instalado em seu sistema.
  • Malvertising: os invasores também podem espalhar malware por meio de malvertising, que envolve a criação de anúncios maliciosos que aparecem em sites legítimos. Quando um usuário clica no anúncio, ele o redireciona para um site que instala malware em seu sistema.
  • Ataques Watering Hole: Nesse tipo de ataque, os invasores têm como alvo um site específico que provavelmente será visitado por suas vítimas pretendidas. Eles infectam o site com malware e, quando a vítima visita o site, seu sistema é infectado por malware.
  • Drive-by downloads: os invasores também podem usar drive-by downloads para instalar malware no sistema da vítima. Esse tipo de ataque envolve a injeção de código malicioso em sites legítimos. Quando um usuário visita o site infectado, o código malicioso é baixado em seu sistema sem seu conhecimento ou consentimento.
  • Engenharia social: os invasores podem usar táticas de engenharia social para induzir as vítimas a instalar malware em seus sistemas. Por exemplo, eles podem criar atualizações falsas de software ou programas antivírus que, na verdade, são malware disfarçado.

Para se proteger contra esses tipos de ataques, é essencial praticar uma boa higiene de segurança cibernética, como manter seu sistema e software atualizados, usar senhas fortes e ser cauteloso ao abrir anexos de e-mail ou clicar em links.

Por Zaib
April 24, 2023
Malware
Portuguese
April 24, 2023
Malware

Postagens Populares

Microsoft alerta que atores de ameaças apoiados pelo Estado...

5 days atrás

Detecção de Malware Trojan Al11

11 months atrás

Pop-ups "Seu iCloud está sendo invadido" e "Seu iPhone foi...

7 months atrás

Pinaview é um aplicativo de adware completo

10 months atrás

O que é Lucky Ransomware?

7 months atrás

Golpe de e-mail 'American Express - Atualize as informações da...

6 months atrás
Portuguese
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.