یک بدافزار سارق چندمنظورهی جدید به نام EvilExtractor (همچنین Evil Extractor) درحال تبلیغ فروش به سایر عاملان تهدید است تا برای سرقت داده و فایل از سیستمهای ویندوز به کار رود.
بهگفتهی کارا لین، محقق Fortinet FortiGuard Labs «این بدافزار شامل چندین ماژول است که همگی ازطریق یک سرویس FTP عمل میکنند. همچنین این بدافزار شامل عملکردهای بررسی محیط و Anti-VM است. بهنظر میرسد هدف اصلی آن سرقت داده و اطلاعات مرورگر از نقاط پایانی در معرض خطر و سپس بارگزاری آنها روی سرور FTP مهاجم است».
این شرکت امنیت شبکه اعلام کرد که شاهد افزایشی ناگهانی در حملات منتشرکنندهی این بدافزار در مارس ۲۰۲۳ بوده است و اکثریت قربانیان مستقر در اروپا و ایالات متحده بودهاند. درحالی که EvilExtractor بهعنوان ابزاری آموزشی تبلیغ میشود، عاملان تهدید از آن برای سرقت اطلاعات استفاده میکنند.
EvilExtractor که از ۲۲ اکتبر ۲۰۲۲ توسط کاربری به نام Kodex در انجمنهای جرایم سایبری مانند Cracked به فروش میرسد، مدام بهروزرسانی شده و دارای ماژولهای گوناگونی برای استخراج فرادادههای سیستم، رمزعبورها و کوکیهای چندین مرورگر وب و همچنین ثبت کردن ضربه کلیدها و حتی عمل کردن بهعنوان یک باجافزار از طریق رمزگذاری فایلهای سیستم هدف میباشد.
همچنین گفته میشود این بدافزار بهعنوان بخشی از یک کمپین فیشینگ ایمیل استفاده شده که در ۳۰ مارس ۲۰۲۳ شناسایی شده است. ایمیلهای این کمپین گیرنده را فریب میدهند تا یک فایل اجرایی را که در قالب یک سند PDF مخفی شده است بهبهانهی تأیید جزئیات حسابشان اجرا کند.
باینری Account-info.exe یک برنامهی پایتون مبهم است که بهگونهای طراحی شده که یک بارگذار .NET را اجرا کند که از اسکریپت Base64-encoded PowerShell برای اجرای EvilExtractor استفاده میکند. این بدافزار گذشته از جمعآوری فایلها میتواند وبکم را نیز فعال کند و اسکرینشات بگیرد.
بهگفتهی لین، EvilExtractor بهعنوان یک سارق اطلاعات جامع با ویژگیهای مخرب متعدد، از جمله قابلیتهای باجافزاری، استفاده میشود. اسکریپت PowerShell آن میتواند درقالب بارگذار .NET یا PyArmor از شناسایی بگریزد. در مدت زمانی اندک، سازندهی آن چندین عملکرد را بهروزرسانی کرده و پایداری آن را افزایش داده است.
این یافتهها درحالی است که واحد مقابله با تهدید Secureworks جزئیات یک کمپین تبلیغ بدافزار و مسموم سازی سئو برای انتشار بازگذار بدافزار Bumblebee، از طریق فایلهای نصب تروجانشدهی نرمافزارهای قانونی را منتشر کرده است.
Bumblebee که اولین بار یک سال قبل توسط گروه تحلیل تهدید گوگل و Proofpoint ثبت شد، یک بارگذار ماژولی است که عمدتاً از طریق تکنیکهای فیشینگ منتشر میشود. گمان میشود عاملانی مرتبط به عملیات باجافزاری Conti آن را بهعنوان جایگزینی برای BazarLoader تولید کردهاند.
در ماههای اخیر، پس از اینکه مایکروسافت Macroها را بهصورت پیشفرض از فایلهای Office دانلودشده از اینترنت مسدود کرد، استفاده از مسمومسازی سئو و تبلیغات مخرب برای هدایت کاربرانی که ابزارهای محبوبی مانند ChatGPT، Cisco AnyConnect، Citrix Workspace و Zoom را جستجو میکنند به وبسایتهای غیرمجاز حاوی فایلهای نصب آلوده افزایشی شدید داشته است.
در یک رویداد که این شرکت امنیت سایبری تشریح کرده است، عامل تهدید از بدافزار Bumblebee برای کسب نقطهی ورود و پس از سه ساعت حرکت جانبی و پیادهسازی Cobalt Strike و نرمافزارهای قانونی دسترسی از راه دوری مانند AnyDesk و Dameware استفاده کرده است. این حمله درنهایت پیش این اینکه به مرحلهی نهایی باجافزار برسد مختل شد.
بهگفتهی Secureworks، بهمنظور تعدیل این حمله و حملات مشابه، سازمانها باید اطمینان حاصل کنند که فایلهای نصب نرمافزارها و آپدیتها تنها از وبسایتهای شناختهشده و قابلاعتماد دانلود شوند. کاربران نباید امتیاز نصب نرمافزار و اجرای اسکریپتها روی کامپیوتر خود داشته باشند.