یک بدافزار دزد جدید "All in one" به نام EvilExtractor (همچنین با املای Evil Extractor) برای فروش سایر عوامل تهدید به سرقت دادهها و فایلها از سیستمهای ویندوز عرضه میشود.
کارا لین، محقق Fortinet FortiGuard Labs گفت: "این شامل چندین ماژول است که همه از طریق یک سرویس FTP کار می کنند." "همچنین شامل بررسی محیط و عملکردهای Anti-VM است. به نظر می رسد هدف اصلی آن سرقت داده ها و اطلاعات مرورگر از نقاط پایانی در معرض خطر و سپس آپلود آن ها در سرور FTP مهاجم باشد."
این شرکت امنیت شبکه اعلام کرد که در مارس 2023 افزایش حملاتی را مشاهده کرده است که بدافزار را در اینترنت منتشر می کنند، به طوری که اکثر قربانیان در اروپا و ایالات متحده واقع شده اند.
ابزار توسط بازیگری به نام Kodex در انجمنهای جرایم سایبری مانند Cracked از 22 اکتبر 2022 فروخته میشود، به طور مداوم بهروزرسانی میشود و در ماژولهای مختلف بستهبندی میشود تا متادیتاهای سیستم، رمزهای عبور و کوکیها را از مرورگرهای مختلف وب سیفون کند و همچنین ضربات کلید را ضبط کند و حتی با رمزگذاری به عنوان باجافزار عمل کند. فایل های موجود در سیستم هدف
همچنین گفته میشود که این بدافزار به عنوان بخشی از یک کمپین ایمیل فیشینگ که توسط شرکت در 30 مارس 2023 شناسایی شد، استفاده شده است. این ایمیلها گیرندگان را به راهاندازی یک فایل اجرایی که به عنوان یک سند PDF به بهانه تایید "جزئیات حساب" خود تبدیل میشود، فریب میدهند. "
باینری "Account_Info.exe" یک برنامه Python مبهم است که برای راه اندازی یک بارگیری دات نت طراحی شده است که از یک اسکریپت PowerShell با کد Base64 برای راه اندازی EvilExtractor استفاده می کند. این بدافزار علاوه بر جمعآوری فایلها، میتواند وبکم را نیز فعال کرده و از صفحهنمایش عکس بگیرد.
لین گفت: «EvilExtractor به عنوان یک دزد اطلاعات جامع با چندین ویژگی مخرب از جمله باج افزار استفاده می شود. اسکریپت PowerShell آن میتواند از تشخیص در لودر داتنت یا PyArmor اجتناب کند. در مدت زمان بسیار کوتاهی، توسعهدهنده آن چندین عملکرد را بهروزرسانی کرده و پایداری آن را افزایش داده است.
این یافتهها زمانی به دست میآیند که واحد مقابله با تهدید Secureworks (CTU) یک کمپین تبلیغات نادرست و مسمومیت SEO را که برای تحویل بارکننده بدافزار Bumblebee از طریق نصبکنندههای تروجانی شده نرمافزارهای قانونی استفاده میشود، شرح داده است.
Bumbleebee که اولین بار یک سال پیش توسط گروه تحلیل تهدیدات گوگل و Proofpoint ثبت شد، یک لودر مدولار است که عمدتاً از طریق تکنیکهای فیشینگ منتشر میشود. گمان می رود که توسط بازیگران مرتبط با عملیات باج افزار Conti به عنوان جایگزینی برای BazarLoader ساخته شده باشد.
کارا لین، محقق Fortinet FortiGuard Labs گفت: "این شامل چندین ماژول است که همه از طریق یک سرویس FTP کار می کنند." "همچنین شامل بررسی محیط و عملکردهای Anti-VM است. به نظر می رسد هدف اصلی آن سرقت داده ها و اطلاعات مرورگر از نقاط پایانی در معرض خطر و سپس آپلود آن ها در سرور FTP مهاجم باشد."
این شرکت امنیت شبکه اعلام کرد که در مارس 2023 افزایش حملاتی را مشاهده کرده است که بدافزار را در اینترنت منتشر می کنند، به طوری که اکثر قربانیان در اروپا و ایالات متحده واقع شده اند.
ابزار توسط بازیگری به نام Kodex در انجمنهای جرایم سایبری مانند Cracked از 22 اکتبر 2022 فروخته میشود، به طور مداوم بهروزرسانی میشود و در ماژولهای مختلف بستهبندی میشود تا متادیتاهای سیستم، رمزهای عبور و کوکیها را از مرورگرهای مختلف وب سیفون کند و همچنین ضربات کلید را ضبط کند و حتی با رمزگذاری به عنوان باجافزار عمل کند. فایل های موجود در سیستم هدف
همچنین گفته میشود که این بدافزار به عنوان بخشی از یک کمپین ایمیل فیشینگ که توسط شرکت در 30 مارس 2023 شناسایی شد، استفاده شده است. این ایمیلها گیرندگان را به راهاندازی یک فایل اجرایی که به عنوان یک سند PDF به بهانه تایید "جزئیات حساب" خود تبدیل میشود، فریب میدهند. "
باینری "Account_Info.exe" یک برنامه Python مبهم است که برای راه اندازی یک بارگیری دات نت طراحی شده است که از یک اسکریپت PowerShell با کد Base64 برای راه اندازی EvilExtractor استفاده می کند. این بدافزار علاوه بر جمعآوری فایلها، میتواند وبکم را نیز فعال کرده و از صفحهنمایش عکس بگیرد.
لین گفت: «EvilExtractor به عنوان یک دزد اطلاعات جامع با چندین ویژگی مخرب از جمله باج افزار استفاده می شود. اسکریپت PowerShell آن میتواند از تشخیص در لودر داتنت یا PyArmor اجتناب کند. در مدت زمان بسیار کوتاهی، توسعهدهنده آن چندین عملکرد را بهروزرسانی کرده و پایداری آن را افزایش داده است.
این یافتهها زمانی به دست میآیند که واحد مقابله با تهدید Secureworks (CTU) یک کمپین تبلیغات نادرست و مسمومیت SEO را که برای تحویل بارکننده بدافزار Bumblebee از طریق نصبکنندههای تروجانی شده نرمافزارهای قانونی استفاده میشود، شرح داده است.
Bumbleebee که اولین بار یک سال پیش توسط گروه تحلیل تهدیدات گوگل و Proofpoint ثبت شد، یک لودر مدولار است که عمدتاً از طریق تکنیکهای فیشینگ منتشر میشود. گمان می رود که توسط بازیگران مرتبط با عملیات باج افزار Conti به عنوان جایگزینی برای BazarLoader ساخته شده باشد.