EvilExtractor è il nuovo malware che sta spaventando l'Occidente

EvilExtractor è il nuovo malware che sta spaventando l'Occidente

Nuove ricerche hanno fatto notare la pericolosa attività di EvilExtractor, malware mai visto prima in diffusione tra Europa e Stati Uniti.
EvilExtractor è il nuovo malware che sta spaventando l'Occidente
Nuove ricerche hanno fatto notare la pericolosa attività di EvilExtractor, malware mai visto prima in diffusione tra Europa e Stati Uniti.

Oltre all’allarme per il malware Bumblebee, la cui diffusione sta avvenendo tramite Google Ads e la promozione dei risultati di ricerca sul motore della Grande G, i ricercatori in ambito cybersicurezza segnalano l’aumento di offensive condotte con il malware EvilExtractor, mai visto prima e utilizzato in particolare per rubare i dati sensibili degli utenti in Europa e negli Stati Uniti.

L’allerta per EvilExtractor

In Occidente suonano le sirene per EvilExtractor che, come ripreso da Bleeping Computer a partire dalle analisi di Recorded Future e Fortinet, viene utilizzato attivamente soprattutto sul mercato del Vecchio Continente da fine 2022. Venduto dalla società Kodex per 59 dollari al mese, contiene addirittura sette moduli di attacco e viene prevalentemente diffuso tramite e-mail di phishing e allegati di vario genere.

Tendenzialmente, il malware si nasconde all’interno di file PDF e Dropbox apparentemente legittimi, contenenti in realtà un eseguibile Python.

malware

Una volta aperto il file infetto, l’eseguibile di EvilExtractor si attiva e controlla l’ora di sistema e il nome host per verificare se si tratta di un ambiente virtuale, sandbox o di un sistema “originale”: nei primi due casi non attiverà il payload, mentre nel terzo proseguirà normalmente verso il furto di dati sensibili.

Il modulo primario estrae i cookie da Google Chrome, Microsoft Edge, Opera e Firefox, raccoglie la cronologia di navigazione ed estrapola le password salvate da un set di programmi. Il secondo modulo è un keylogger, il quale registra gli input della vittima su tastiera per salvarli in una cartella locale da portare al server di comando e controllo. Il terzo modulo, invece, attiva la webcam e acquisisce video e immagini. Infine, gli altri moduli si occupano del monitoraggio del dispositivo e dell’esfiltrazione di altri tipi di documenti da Desktop e Download, acquisendo screenshot quando necessario.

Gli operatori, dunque, spesso procedono con l’attivazione di un ransomware per bloccare i file della vittima e procedere con il solito ricatto per eliminare i file rubati e riottenere l’accesso.

Come evitare questo virus? Molto semplicemente, bisogna ricordarsi di non scaricare alcun allegato da mail la cui origine è dubbia: se si ha un minimo sospetto, insomma, meglio non procedere con l’apertura dei file inclusi nei messaggi di posta elettronica.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
23 apr 2023
Link copiato negli appunti