I ricercatori di Fortinet hanno scoperto un nuovo info-stealer che permette di rubare i dati dai computer Windows in Europa e Stati Uniti. EvilExtractor viene venduto dall’azienda Kodex in abbonamento (59 dollari/mese). Il malware è composto da vari moduli, può distribuire un ransomware e include funzionalità specifiche per aggirare i controlli di sicurezza.
EvilExtractor: info-stealer all-in-one
L’accesso iniziale ai dispositivi viene ottenuto attraverso il classico phishing. In allegato all’email c’è un archivio gzip che contiene un eseguibile Python mascherato come documento PDF. Quando avviato, il file lancia un loader .NET che usa uno script PowerShell per eseguire EvilExtractor.
Il malware è composto da almeno otto moduli, tre dei quali permettono di verificare la presenza di macchine virtuali, sandbox e soluzioni di sicurezza che potrebbero rilevare la sua presenza. Vengono quindi scaricati da un server remoto tre componenti che servono per rubare i dati. Il primo raccoglie cookie, password e cronologia dai principali browser. Il secondo è un virus della tastiera, poiché registra i tasti premuti (keylogger), mentre il terzo può attivare la webcam, con quale cattura immagini e video.
EvilExtractor cattura anche screenshot e accede a numerosi file (documenti, immagini, video, archivi compressi e altri). Un altro modulo invia tutti i dati al server FTP controllato dai cybercriminali. Infine viene scaricato il ransomware sul computer e mostrato il testo con le istruzioni da seguire per pagare il riscatto (1.000 dollari in Bitcoin).
Gli sviluppatori del malware hanno aggiunto diverse funzionalità da ottobre 2022, quindi viene continuamente aggiornato. La maggioranza delle vittime sono in Europa e Stati Uniti. È consigliata l’installazione di un buon antivirus che blocca questa pericolosa minaccia.