Um novo malware "all-in-one" chamado EvilExtractor (também escrito como Evil Extractor) está sendo comercializado para outros atores de ameaças para roubar dados e arquivos de sistemas Windows.
"Ele inclui vários módulos que funcionam todos através de um serviço FTP", disse a pesquisadora da Fortinet FortiGuard Labs, Cara Lin.
"Ele também contém verificação de ambiente e funções Anti-VM.
Seu objetivo principal parece ser roubar dados do navegador e informações de endpoints comprometidos e, em seguida, enviá-los para o servidor FTP do atacante".
A empresa de segurança de rede disse que observou um aumento nos ataques que espalham o malware em março de 2023, com a maioria das vítimas localizadas na Europa e nos Estados Unidos.
Embora comercializado como uma ferramenta educacional, o EvilExtractor foi adotado por atores de ameaças para uso como um ladrão de informações.
Vendido por um ator chamado Kodex em fóruns de crime cibernético como o Cracked desde 22 de outubro de 2022, ele é continuamente atualizado e contém vários módulos para extrair dados do sistema, senhas e cookies de vários navegadores da web, bem como registrar pressionamentos de tecla e até mesmo atuar como um ransomware criptografando arquivos no sistema-alvo.
Também se diz que o malware foi usado como parte de uma campanha de phishing por e-mail detectada pela empresa em 30 de março de 2023.
Os e-mails atraem os destinatários para lançar um executável que se disfarça como um documento PDF sob o pretexto de confirmar seus "detalhes da conta".
O arquivo binário "Account_Info.exe" é um programa Python ofuscado projetado para lançar um carregador .NET que usa um script do PowerShell codificado em Base64 para lançar o EvilExtractor.
O malware, além de reunir arquivos, também pode ativar a webcam e capturar capturas de tela.
"O EvilExtractor está sendo usado como um ladrão de informações abrangente com várias funções maliciosas, incluindo ransomware", disse Lin.
"Seu script do PowerShell pode evitar a detecção em um carregador .NET ou PyArmor.
Em um tempo muito curto, seu desenvolvedor atualizou várias funções e aumentou sua estabilidade."
As descobertas surgem quando a Secureworks Counter Threat Unit (CTU) detalhou uma campanha de malvertising e envenenamento de SEO usada para entregar o carregador de malware Bumblebee por meio de instaladores trojanizados de software legítimo.
O Bumblebee, documentado primeiro há um ano pelo Google's Threat Analysis Group e Proofpoint, é um carregador modular que se propaga principalmente por meio de técnicas de phishing.
Suspeita-se que tenha sido desenvolvido por atores associados à operação de ransomware Conti como substituto do BazarLoader.
O uso de envenenamento de SEO e anúncios maliciosos para redirecionar usuários que procuram ferramentas populares como ChatGPT, Cisco AnyConnect, Citrix Workspace e Zoom para sites fraudulentos que hospedam instaladores contaminados tem testemunhado um aumento nos últimos meses, depois que a Microsoft começou a bloquear macros por padrão de arquivos do Office baixados da Internet.
Em um incidente descrito pela empresa de segurança cibernética, o ator de ameaças usou o malware Bumblebee para obter um ponto de entrada e mover-se lateralmente após três horas para implantar o Cobalt Strike e software de acesso remoto legítimo como o AnyDesk e o Dameware.
O ataque foi interrompido antes de prosseguir para a fase final de ransomware.
"Para mitigar essa e outras ameaças similares, as organizações devem garantir que os instaladores e atualizações de software sejam baixados apenas de sites conhecidos e confiáveis", disse a Secureworks.
"Os usuários não devem ter privilégios para instalar software e executar scripts em seus computadores".
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...