Actualidad

Evil Extractor, herramienta de robo de datos que causa estragos en EE. UU. y EE. UU. Europa

Estás leyendo la publicación: Evil Extractor, herramienta de robo de datos que causa estragos en EE. UU. y EE. UU. Europa

Investigadores de varias empresas de seguridad han informado de un aumento en las herramientas de robo de datos en EE. UU. y Europa, como Evil Extractor, que se utiliza para robar datos confidenciales de los usuarios. Bueno, estos ataques fueron detectados por primera vez por Recorded Future.

La herramienta de robo de datos fue vendida por una empresa llamada Kodex por 59 dólares al mes, y EvilExtractor presenta siete módulos de ataque, incluidos Credential Steelers, ransomware y Omisión de Windows.

Evil Extractor, herramienta de robo de datos que causa estragos en EE. UU. y Europa 1Sitio web de Kodex

Según el analista de inteligencia de amenazas de Recorded Future Allan Liska, la herramienta de robo de datos se vendía en los foros de Nulled & Cracked en octubre del año pasado. Si bien se marca como una herramienta auténtica, luego se promociona entre los actores de amenazas en los foros de piratería.

Varios otros investigadores y empresas de seguridad también han estado observando el crecimiento y los ataques maliciosos de la herramienta de robo de datos y han estado compartiendo sus hallazgos en Twitter desde febrero de 2023.

Firma de seguridad Fortinet menciona que el hacktivista utiliza EvilExtrator como malware para robar información, y según los datos recopilados por la firma de ciberseguridad, el crecimiento de la información Evil Extractor ha experimentado un aumento desde marzo de 2023, siendo la mayoría de ellos provenientes de actividades de phishing.

Leer: Estafas de phishing dirigidas a contribuyentes estadounidenses con malware de acceso remoto

La empresa de ciberseguridad Fortinet menciona que los ataques que observaron comenzaron con un correo electrónico de phishing que se hacía pasar por una solicitud de confirmación de cuenta y que contenía un archivo adjunto ejecutable comprimido con gzip.

🔥 Recomendado:  Cómo elegir la base de datos adecuada: hacia la IA

El archivo adjunto ejecutable se crea para que parezca un PDF auténtico o un archivo de Dropbox, pero, por supuesto, en realidad es un programa ejecutable de Python.

Ahora, cuando el objetivo abre los archivos, se ejecuta un archivo Python e inicia un cargador NET que utiliza un script de PowerShell codificado en base64 para iniciar un ejecutable de EvilExtractor.

En el inicio inicial, el malware verifica la hora del sistema y el nombre de host para determinar si el sistema se está ejecutando en un entorno virtual o en la zona de pruebas de análisis; si ese es el caso, saldrá.

Evil Extractor, herramienta de robo de datos que causa estragos en EE. UU. y Europa 2Evil Extractor, herramienta de robo de datos que causa estragos en EE. UU. y Europa 2Código del cargador .NET

Estos son los siguientes módulos que aparecen en estos ataques.

  • Verifica fecha y hora
  • Anti-zona de pruebas
  • Antimáquina virtual
  • Antiescáner
  • Configuración del servidor FPT
  • robar datos
  • Cargar datos robados
  • Borrar registro
  • Secuestro de datos

El módulo de robo de datos EvilExtractor descarga tres componentes Python más llamados “KK2023.zip”, Confirm.zip” y MnMs.zip”. El primer programa extrae cookies de Google Chrome, Opera, Firefox y Microsoft Edge y también recopila el historial de navegación y las contraseñas guardadas de un gran conjunto de programas.

Además, el segundo módulo es un registrador de teclas, que registra las entradas del teclado de destino y las guarda en una carpeta local para su extracción; el tercero es el extractor de cámara web, lo que significa que los extractores encienden la cámara web en secreto. Capture un vídeo o una imagen y cargue los archivos en el servidor atacante que alquila Kodec.

No solo esto, sino que el malware también extrae varios tipos de documentos y archivos de las carpetas de Escritorio y Descargas, realiza capturas de pantalla y envía todos los datos a su operador.

🔥 Recomendado:  Corrija sus etiquetas de datos de forma automática y rápida: hacia la IA
Evil Extractor, herramienta de robo de datos que causa estragos en EE. UU. y Europa 3Evil Extractor, herramienta de robo de datos que causa estragos en EE. UU. y Europa 3Exfilerteración de datos robados al servidor FTP (Fortinet)

El módulo de ransomware Kodex se guarda en el cargador y, si se activa, se descarga como archivo adicional (“zzyy.zip”) desde los sitios web del producto.

Evil Extractor, herramienta de robo de datos que causa estragos en EE. UU. y Europa 4Evil Extractor, herramienta de robo de datos que causa estragos en EE. UU. y Europa 4Nota de ransomware Kodex (Fortinet)

Es una herramienta de archivos simple y exitosa que utiliza 7-Zip para crear una contraseña sin el archivo que contiene los archivos de la víctima, impidiendo efectivamente el acceso a ellos sin la contraseña.

Según Fortinet, desarrollador de EvilExactrator, Kodex ha agregado muchas funciones a la herramienta de robo de datos desde su lanzamiento inicial en octubre de 2022. También sigue realizando cambios para hacerla más estable.

Leer: Los investigadores de Checkpoint Security descubren el ransomware rápido ‘Rorschach’ con características únicas

Otros temas interesantes: