Fortiguard的安全研究人员注意到,一种新的数据盗窃工具Evil Extractor已经开始在暗网上销售。
“它包括几个模块,都是通过一个FTP服务工作的。”Fortinet FortiGuard实验室研究员Cara Lin说。“它还包含环境检查和反虚拟机功能。它的主要目的似乎是从受感染的客户端窃取浏览器数据和信息,然后将其上传到攻击者的FTP服务器。”
这家网络安全公司表示,它观察到2023年3月在野外传播该恶意软件的攻击激增,大多数受害者位于欧洲和美国。虽然Evil Extractor作为教育工具销售,但已被威胁行为者用作信息窃取木马。
该攻击工具由一个名为Kodex的威胁行为者在Cracked等网络犯罪论坛上出售,最早可追溯到2022年10月22日。它不断地更新和包装各种模块,从各种网络浏览器中吸取系统元数据、密码和cookies,并记录键盘记录和甚至通过加密目标系统上的文件充当勒索软件。
据称,该恶意软件还被用作该公司于2023年3月30日检测到的钓鱼邮件活动的一部分。这些电子邮件诱使收件人启动伪装成PDF文档的可执行文件,借口是确认他们的“帐户详细信息”。“
“Account_Info.exe”二进制文件是一个混淆的Python程序,旨在启动一个.NET加载程序,该加载程序使用Base64编码的PowerShell脚本来启动Evil Extractor。该恶意软件除了收集文件外,还可以激活网络摄像头并捕获屏幕截图。
“Evil Extractor被用作具有多种恶意功能的综合信息窃取器,包括勒索软件,”Lin说。“它的PowerShell脚本可以逃避.NET加载程序或PyArmor的检测。在很短的时间内,它的开发人员更新了几个功能并提高了稳定性。”