新型信息窃取器EvilExtractor在暗网中出售
EvilExtractor是一款适用于Windows的新型“一体式”信息窃取器,正在暗网网络犯罪论坛上进行销售广告。
Fortinet FortiGuard实验室研究人员发现了一种适用于Windows的新型“一体式”信息窃取程序,称为EvilExtractor(有时拼写为Evil Extractor),可在暗网网络犯罪论坛上出售。
EvilExtractor是一个模块化的信息窃取器,它通过FTP服务窃取数据。该工具由一家名为Kodex的公司开发,该公司声称该工具是为教育目的而开发的。坏消息是,据FortiGuard Labs称,网络犯罪分子正在积极使用这些工具作为信息窃取者。
恶意软件环境检查和防虚拟机功能。
“根据我们对主机evilextractor[.]com的流量源数据,恶意活动在 2023年3月显着增加。FortiGuard Labs在3月30日的网络钓鱼电子邮件活动中观察到该恶意软件,我们将其追溯到该博客中包含的样本”“它通常伪装成合法文件,例如Adobe PDF或Dropbox文件,但一旦加载,它就会开始利用PowerShell进行恶意活动。”
研究人员观察到2023年3月传播恶意软件的攻击激增,据报道大部分感染发生在欧洲和美国
该工具由一个名为Kodex的在线演员在网络犯罪论坛上出售,开发人员于2022年10月发布了其项目,并通过发布具有新功能的新模块不断更新它。
该恶意软件可以从受感染端点窃取敏感数据,包括浏览器历史记录和密码以及cookie。该恶意软件还能够记录击键、激活网络摄像头和捕获屏幕截图。专家们注意到,该信息窃取程序还具有名为“Kodex Ransomware”的勒索软件功能。
专家们观察到一个网络钓鱼活动使用伪装成PDF文件形式的帐户确认请求的恶意附件。攻击者诱使受害者点击PDF图标解压附件文件。
“Account_Info.exe”文件是由PyInstaller打包的混淆后的Python程序。该二进制文件启动一个.NET加载程序,该加载程序使用Base64编码的PowerShell脚本来执行EvilExtractor恶意软件。
“EvilExtractor 被用作具有多种恶意功能的综合信息窃取器,包括勒索软件。它的PowerShell脚本可以逃避 .NET加载程序或PyArmor的检测。在很短的时间内,其开发人员更新了多项功能并提高了稳定性。该博客解释了威胁行为者如何通过网络钓鱼邮件发起攻击,以及利用哪些文件来提取EvilExtracrtor PowerShell脚本。”“用户应该注意这个新的信息窃取程序,并继续对可疑邮件保持谨慎。”
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/5623.html
