Поделиться
ПК на Windows массово атакует троян, который умеет вредить всеми возможными способами, а стоит копейки
Программа EvilExtractor активно распространяется в фишинговых кампаниях с конца марта 2023 г. Сам вредонос постоянно обновляется и обрастает новыми функциями.
Экстракт зла
По киберкриминальным форумам в даркнете распространяется новая вредоносная программа — универсальный инструмент для кражи данных из систем под управлением Windows: EvilExtractor. Об этом сообщили эксперты ИБ-подразделения компании Fortinet.
Это модульная программа, которая выводит данные, интересующие злоумышленников, через протокол FTP. По сведениям экспертов FortiGuardLabs, в последнее время резко возросло количество криминальных атак с использованием этого вредоноса. В частности, резкий рост наблюдается с марта 2023 г.
Большая часть заражений выявлена в Европе и США.
EvilExtractor продается за очень скромные деньги ($39) на киберкриминальных форумах. Продавец-разработчик, именующий себя Kodex, регулярно обновляет свое изделие, добавляя новые модули и функции.
На данный момент эта программа способна выводить с зараженного устройства множество важных данных, в том числе историю браузера, пароли и файлы Cookie. Кроме того, вредонос способен записывать нажатия клавиш, активировать веб-камеру и делать скриншоты. Самая же неприятная деталь — это наличие шифровального модуля: EvilExtractor может работать и как шифровальщик-вымогатель.
30 марта 2023 г. была выявлена фишинговая кампания, целью которой было распространение вредоноса.
Подтвердите через PDF
В сообщениях жертвам содержался запрос на подтверждение некоего аккаунта под видом PDF-файла (что уже само по себе крайне странно).
Если жертва кликала по иконке PDF, запускался исполняемый файл Account_Info.exe, зашифрованная программа, написанная на языке Python и упакованная PyInstaller.
Исполняемый файл запускает загрузчик .NET, который, в свою очередь, активирует малозаметный для защитных средств системы скрипт PowerShell, который уже непосредственно запускает основной вредоносный компонент.
В публикации Fortinet отмечается, что EvilExtractor производит проверку, не находится ли он в изолированной среде (песочнице) или на виртуальной машине; среди прочего он проверяет системные время и дату. Кроме того, он способен выявлять средства сканирования.
Если вредонос обнаруживает хотя бы один из этих признаков, он немедленно прекращает работу и самоуничтожается.
«Это вполне типичная на сегодняшний день мера для защиты от анализа, — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. — Авторы вредоносного ПО стараются тем самым продлить срок актуальности своих разработок. Рано или поздно, однако, их все равно удается перехватить и исследовать».
В публикации Fortinet не указывается, какие именно файлы шифрует соответствующий модуль EvilExtractor, но скорее всего, речь идет о тех же типах файлов, которые он старается выкрасть, а это изображения (jpg, png, jpeg), мультимедийные файлы (mp3, mp4, mpeg, avi), текстовые документы и таблицы, а также архивы и файлы csv, xml и html.
Короткая ссылка
