EvilExtractor försöker stjäla data

EvilExtractor är ett skadligt verktyg som riktar sig till Windows-operativsystem för att extrahera data och filer från slutpunktsenheter. Dess moduler fungerar genom en FTP-tjänst och har utvecklats av ett företag som heter Kodex, som hävdar att det är ett pedagogiskt verktyg. Men forskning från FortiGuard Labs visar att cyberbrottslingar aktivt använder det för att stjäla information.

Skadlig aktivitet relaterad till evilextractor.com ökade avsevärt i mars 2023. FortiGuard Labs observerade denna skadliga programvara i en nätfiskekampanj den 30 mars och spårade den tillbaka till proverna som inkluderades i rapporten. Skadlig programvara är förklädd som en legitim fil som en Adobe PDF- eller Dropbox-fil, men när den väl har öppnats initierar den skadliga PowerShell-aktiviteter. Skadlig programvara innehåller även funktioner som kontrollerar miljön och sådana som kontrollerar virtualisering. Skadlig programvaras huvudsakliga mål är att stjäla webbläsardata och information från komprometterade system och sedan kanalisera den till angriparna.

Enligt Fortinets rapport började attackerna de observerade med ett nätfiskemail som innehöll en komprimerad körbar bilaga förklädd som en legitim PDF- eller Dropbox-fil. När den har öppnats startar den en .NET-lastare som använder ett kodat PowerShell-skript för att starta en körbar EvilExtractor. Vid den första lanseringen kontrollerar skadlig programvara systemets lokala tid och värdnamn för att se om det körs i en virtuell miljö eller sandlåda, i vilket fall det kommer att avslutas.

EvilExtractor innehåller ytterligare tre Python-komponenter: "KK2023.zip", "Confirm.zip" och "MnMs.zip." Det första programmet extraherar cookies, webbhistorik och sparade lösenord från bland annat Google Chrome, Microsoft Edge, Opera och Firefox. Den andra modulen är en nyckellogger som registrerar tangenttryckningar och sparar dem i en lokal mapp. Den tredje filen är en webbkameraextraktor som tyst kan slå på webbkameran, spela in video eller bilder och ladda upp infångningen till angriparens FTP-server. Skadlig programvara exfiltrerar också många dokument- och mediefiltyper från mapparna Skrivbord och Nedladdningar, tar skärmdumpar och skickar all stulen data till dess operatörer. Dessutom är modulen 'Kodex ransomware' kapslad i laddaren och, om den är aktiverad, laddar den ned en ytterligare fil ("zzyy.zip") från produktens webbplats för att skapa ett lösenordsskyddat arkiv som innehåller offrets filer.

Hur kan hotaktörer sprida skadlig programvara som liknar EvilExtractor?

Hotaktörer kan sprida skadlig programvara som liknar EvilExtractor med hjälp av olika taktiker, till exempel:

  • Nätfiske-e-post: Angripare kan skapa nätfiske-e-postmeddelanden som verkar komma från en pålitlig källa, till exempel en bank eller en populär onlinetjänst, och inkluderar bilagor eller länkar till skadliga filer förklädda som legitima filer, som PDF-filer eller Dropbox-filer. När offret öppnar filen kan skadlig programvara installeras på deras system.
  • Malvertising: Angripare kan också sprida skadlig programvara genom malvertising, vilket innebär att skapa skadliga annonser som visas på legitima webbplatser. När en användare klickar på annonsen omdirigeras den till en webbplats som installerar skadlig programvara på deras system.
  • Vattenhålsattacker: I denna typ av attack riktar sig angripare mot en specifik webbplats som sannolikt kommer att besökas av deras avsedda offer. De infekterar webbplatsen med skadlig programvara, och när offret besöker webbplatsen är deras system infekterat med skadlig programvara.
  • Drive-by-nedladdningar: Angripare kan också använda drive-by-nedladdningar för att installera skadlig programvara på ett offers system. Denna typ av attack involverar injicering av skadlig kod på legitima webbplatser. När en användare besöker den infekterade webbplatsen laddas den skadliga koden ner till deras system utan deras vetskap eller samtycke.
  • Social Engineering: Angripare kan använda social ingenjörsteknik för att lura offren att installera skadlig programvara på sina system. Till exempel kan de skapa falska programuppdateringar eller antivirusprogram som faktiskt är skadlig programvara i förklädnad.

För att skydda mot dessa typer av attacker är det viktigt att öva god cybersäkerhetshygien, som att hålla ditt system och din programvara uppdaterad, använda starka lösenord och vara försiktig när du öppnar e-postbilagor eller klickar på länkar.

År Zaib
April 24, 2023
Malware
Svenska
April 24, 2023
Malware

Populära inlägg

Microsoft varnar statligt stödda hotaktörer använder AI i...

5 days sedan

Trojan Al11 Detektering av skadlig programvara

11 months sedan

Popup-fönster "Din iCloud hackas" och "Din iPhone har blivit...

7 months sedan

Pinaview är en fullfjädrad adware-app

10 months sedan

Vad är Lucky Ransomware?

7 months sedan

"American Express - Uppdatera din kontoinformation"...

6 months sedan
Svenska
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.