EvilExtractor: Ένας κλέφτης για συστήματα Windows εμφανίζεται στο Dark Web

Ένα νέο κακόβουλο λογισμικό κλοπής δεδομένων με την ονομασία EvilExtractor διατίθεται προς πώληση και αφορά αρχεία από συστήματα Windows.

evilextractor

“Περιλαμβάνει διάφορες ενότητες που όλες λειτουργούν μέσω μιας υπηρεσίας FTP”, δήλωσε η Cara Lin, ερευνήτρια της Fortinet FortiGuard Labs. “Περιέχει επίσης λειτουργίες ελέγχου περιβάλλοντος και Anti-VM. Ο κύριος σκοπός του φαίνεται να είναι να κλέβει δεδομένα και πληροφορίες του προγράμματος περιήγησης από εκτεθειμένα τελικά σημεία και στη συνέχεια να τα μεταφορτώνει στον διακομιστή FTP του επιτιθέμενου”.

Η εταιρεία ασφάλειας δικτύων δήλωσε ότι παρατήρησε ένα κύμα επιθέσεων που διέδωσαν το κακόβουλο λογισμικό τον Μάρτιο του 2023, με την πλειοψηφία των θυμάτων να βρίσκονται στην Ευρώπη και τις Η.Π.Α. Ενώ το EvilExtractor διατίθεται στην αγορά ως εκπαιδευτικό εργαλείο, έχει υιοθετηθεί από τους hackers ως κλέφτης πληροφοριών.

Το εργαλείο επίθεσης πωλείται από έναν hacker με το όνομα Kodex σε φόρουμ κυβερνοεγκλήματος όπως το Cracked που χρονολογείται από τις 22 Οκτωβρίου 2022. Ενημερώνεται συνεχώς και ενσωματώνει διάφορες ενότητες για να αποσπάσει μεταδεδομένα συστήματος, κωδικούς πρόσβασης και cookies από διάφορα προγράμματα περιήγησης στο διαδίκτυο, καθώς και να καταγράφει πληκτρολογήσεις και να ενεργεί ακόμη και ως ransomware κρυπτογραφώντας αρχεία στο σύστημα-στόχο.

Το κακόβουλο λογισμικό λέγεται επίσης ότι χρησιμοποιήθηκε ως μέρος μιας εκστρατείας ηλεκτρονικού ταχυδρομείου phishing που εντοπίστηκε από την εταιρεία στις 30 Μαρτίου 2023. Τα μηνύματα ηλεκτρονικού ταχυδρομείου παρασύρουν τους παραλήπτες στην εκκίνηση ενός εκτελέσιμου αρχείου που μεταμφιέζεται σε έγγραφο PDF με το πρόσχημα της επιβεβαίωσης των “στοιχείων του λογαριασμού τους”.

Το δυαδικό αρχείο “Account_Info.exe” είναι ένα συγκεκαλυμμένο πρόγραμμα Python που έχει σχεδιαστεί για την εκκίνηση ενός φορτωτή .NET που χρησιμοποιεί ένα PowerShell script κωδικοποιημένο με Base64 για την εκκίνηση του EvilExtractor. Το κακόβουλο λογισμικό, εκτός από τη συλλογή αρχείων, μπορεί επίσης να ενεργοποιήσει την κάμερα και να καταγράψει στιγμιότυπα οθόνης.

“Το EvilExtractor χρησιμοποιείται ως ένας ολοκληρωμένος κλέφτης πληροφοριών με πολλαπλά κακόβουλα χαρακτηριστικά, συμπεριλαμβανομένου του ransomware”, δήλωσε ο Lin. “Το script του PowerShell μπορεί να διαφύγει της ανίχνευσης σε έναν φορτωτή .NET ή PyArmor. Μέσα σε πολύ σύντομο χρονικό διάστημα, ο προγραμματιστής του ενημέρωσε αρκετές λειτουργίες και αύξησε τη σταθερότητά του”.

Τα ευρήματα έρχονται καθώς η Μονάδα Αντιμετώπισης Απειλών (CTU) της Secureworks περιγράφει λεπτομερώς μια κακόβουλη διαφημιστική εκστρατεία SEO που χρησιμοποιήθηκε για την παράδοση του φορτωτή κακόβουλου λογισμικού Bumblebee μέσω δούρειων προγραμμάτων εγκατάστασης νόμιμου λογισμικού.

evil

Το Bumbleebee, που καταγράφηκε για πρώτη φορά πριν από ένα χρόνο από την Threat Analysis Group της Google και την Proofpoint, είναι ένας αρθρωτός φορτωτής που διαδίδεται κυρίως μέσω τεχνικών phishing. Υπάρχει η υποψία ότι αναπτύχθηκε από παράγοντες που σχετίζονται με την επιχείρηση Conti ransomware ως αντικαταστάτης του BazarLoader.

Η χρήση των κακόβουλων διαφημίσεων για την ανακατεύθυνση χρηστών που αναζητούν δημοφιλή εργαλεία όπως το ChatGPT, το Cisco AnyConnect, το Citrix Workspace και το Zoom σε ψεύτικους ιστότοπους που φιλοξενούν μολυσμένα αρχεία εγκατάστασης, έχει γνωρίσει έξαρση τους τελευταίους μήνες, αφότου η Microsoft άρχισε να αποκλείει τις μακροεντολές από προεπιλογή από τα αρχεία του Office που λαμβάνονται από το διαδίκτυο.

Σε ένα περιστατικό που περιέγραψε η εταιρεία κυβερνοασφάλειας, ο δράστης χρησιμοποίησε το κακόβουλο λογισμικό Bumblebee για να αποκτήσει ένα σημείο εισόδου και να κινηθεί πλευρικά μετά από τρεις ώρες για να επιτεθεί με το Cobalt Strike και ένα νόμιμο λογισμικό απομακρυσμένης πρόσβασης όπως το AnyDesk και το Dameware. Η επίθεση τελικά διακόπηκε πριν προχωρήσει στο τελικό στάδιο του ransomware.

 

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Anastasis Vasileiadis

Οι μεταφράσεις είναι σαν τις γυναίκες. Όταν είναι ωραίες δεν είναι πιστές και όταν είναι πιστές δεν είναι ωραίες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).