builderall


Los investigadores están viendo un aumento en los ataques que difunden la herramienta de robo de datos EvilExtractor, utilizada para robar datos confidenciales de los usuarios en Europa y EE. UU.


EvilExtractor lo vende una empresa llamada Kodex por 59 dólares al mes y cuenta con siete módulos de ataque, que incluyen ransomware, extracción de credenciales y elusión de Windows Defender .



Si bien se comercializa como una herramienta legítima, se le dijo a BleepingComputer que EvilExtractor se promociona principalmente entre los actores de amenazas en los foros de piratería.

"Recorded Future observó por primera vez que Evil Extractor se vendía en los foros Cracked y Nulled en octubre de 2022", dijo Allan Liska , analista de inteligencia de amenazas en Recorded Future, a BleepingComputer.


Otros investigadores de seguridad también han estado monitoreando el desarrollo y los ataques maliciosos usando Evil Extractor, compartiendo sus hallazgos en Twitter desde febrero de 2022.


Fortinet informa que los ciberdelincuentes usan EvilExtractor como un malware que roba información en la naturaleza.


Según las estadísticas de ataques recopiladas por la empresa de ciberseguridad, la implementación de EvilExtractor se disparó en marzo de 2023 y la mayoría de las infecciones provinieron de una campaña de phishing vinculada.


Propagación en ataques de phishing


Fortinet dice que los ataques que observaron comenzaron con un correo electrónico de phishing disfrazado como una solicitud de confirmación de cuenta, que contenía un archivo adjunto ejecutable comprimido con gzip. Este ejecutable se crea para que aparezca como un archivo PDF o Dropbox legítimo, pero en realidad es un programa ejecutable de Python.


Cuando el objetivo abre el archivo, se ejecuta un archivo PyInstaller y se inicia un cargador .NET que utiliza un script de PowerShell codificado en base64 para iniciar un ejecutable EvilExtractor.


Tras el primer lanzamiento, el malware comprobará la hora del sistema y el nombre de host para detectar si se está ejecutando en un entorno virtual o en un entorno limitado de análisis, en cuyo caso se cerrará.



La versión de EvilExtractor implementada en estos ataques presenta los siguientes módulos:



El módulo de robo de datos de EvilExtractor descargará tres componentes adicionales de Python llamados "KK2023.zip", "Confirm.zip" y "MnMs.zip".


El primer programa extrae cookies de Google Chrome, Microsoft Edge, Opera y Firefox y también recopila el historial de navegación y las contraseñas guardadas de un conjunto de programas aún más amplio.


El segundo módulo es un registrador de teclas que registra las entradas del teclado de la víctima y las guarda en una carpeta local para ser extraídas más tarde.


El tercer archivo es un extractor de cámara web, lo que significa que puede activar en secreto la cámara web, capturar videos o imágenes y cargar los archivos en el servidor FTP del atacante, que alquila Kodex.


El malware también extrae muchos tipos de documentos y archivos multimedia de las carpetas Escritorio y Descargas, captura capturas de pantalla y envía todos los datos robados a sus operadores.



El módulo 'Kodex ransomware' está anidado en el cargador y, si está activado, descarga un archivo adicional ("zzyy.zip") del sitio web del producto.


Es una herramienta de bloqueo de archivos simple pero efectiva que abusa de 7-Zip para crear un archivo protegido con contraseña que contiene los archivos de la víctima, evitando efectivamente el acceso a ellos sin la contraseña.



Fortinet advierte que el desarrollador de EvilExtractor, Kodex, agregó varias funciones a la herramienta desde su lanzamiento inicial en octubre de 2022 y continúa actualizándola para que sea más potente y estable.


Las detecciones en estado salvaje indican que EvilExtractor está ganando terreno en la comunidad de delitos cibernéticos, por lo que se recomienda a los usuarios que permanezcan atentos a los correos electrónicos no solicitados.



Fuente: BC.