EvilExtractor (иногда пишется Evil Extractor) - это инструмент атаки, предназначенный для атак на операционные системы Windows и извлечения данных и файлов с конечных устройств. Он включает в себя несколько модулей, которые работают через службу FTP. Он был разработан компанией Kodex, которая утверждает, что это образовательный инструмент. Однако исследования, проведенные FortiGuard Labs, показывают, что киберпреступники активно используют его для кражи информации.
Согласно данным FortiGuard Labs об источниках трафика на хосте evilextractor[.]com, вредоносная активность значительно возросла в марте 2023 года. FortiGuard Labs обнаружила эту вредоносную программу в фишинговой почтовой кампании 30 марта, которую мы отследили по образцам, включенным в этот блог. Обычно она притворяется легитимным файлом, например, Adobe PDF или файлом Dropbox, но после загрузки начинает использовать вредоносные действия PowerShell. Он также содержит функции проверки окружения и Anti-VM. Его основная цель, похоже, заключается в краже данных браузера и информации со взломанных конечных точек и последующей загрузке их на FTP-сервер злоумышленника.
Недавно FortiGuard Labs проанализировали версию вредоносной программы, которая была внедрена в систему жертвы, и в рамках этого анализа определили, что большинство ее жертв находятся в Европе и Америке. Разработчик выпустил свой проект в октябре 2022 года и постоянно обновлял его для повышения стабильности и усиления модуля.
Indicators of Compromise
IPv4
- 193.42.33.232
- 45.87.81.184
SHA256
- 023548a5ce0de9f8b748a2fd8c4d1ae6c924c40acbde32e9599c868115d11f4e
- 17672795fb0c8df81ab33f5403e0e8ed15f4b2ac1e8ac9fef1fec4928387a36d
- 352efd1645982b8d23a841107007c8b4b024eb6bb5d6b312e5783ce4aa62b685
- 75688c32a3c1f04df0fc02491180c8079d7fdc0babed981f5860f22f5e118a5e
- 826c7c112dd1ae80469ef81f5066003d7691a349e6234c8f8ca9637b0984fc45
- b1ef1654839b73f03b73c4ef4e20ce4ecdef2236ec6e1ca36881438bc1758dcd