Oltre all’allarme per il malware Bumblebee, la cui diffusione sta avvenendo tramite Google Ads e la promozione dei risultati di ricerca sul motore della Grande G, i ricercatori in ambito cybersicurezza segnalano l’aumento di offensive condotte con il malware EvilExtractor, mai visto prima e utilizzato in particolare per rubare i dati sensibili degli utenti in Europa e negli Stati Uniti.
L’allerta per EvilExtractor
In Occidente suonano le sirene per EvilExtractor che, come ripreso da Bleeping Computer a partire dalle analisi di Recorded Future e Fortinet, viene utilizzato attivamente soprattutto sul mercato del Vecchio Continente da fine 2022. Venduto dalla società Kodex per 59 dollari al mese, contiene addirittura sette moduli di attacco e viene prevalentemente diffuso tramite e-mail di phishing e allegati di vario genere.
Tendenzialmente, il malware si nasconde all’interno di file PDF e Dropbox apparentemente legittimi, contenenti in realtà un eseguibile Python.
Una volta aperto il file infetto, l’eseguibile di EvilExtractor si attiva e controlla l’ora di sistema e il nome host per verificare se si tratta di un ambiente virtuale, sandbox o di un sistema “originale”: nei primi due casi non attiverà il payload, mentre nel terzo proseguirà normalmente verso il furto di dati sensibili.
Il modulo primario estrae i cookie da Google Chrome, Microsoft Edge, Opera e Firefox, raccoglie la cronologia di navigazione ed estrapola le password salvate da un set di programmi. Il secondo modulo è un keylogger, il quale registra gli input della vittima su tastiera per salvarli in una cartella locale da portare al server di comando e controllo. Il terzo modulo, invece, attiva la webcam e acquisisce video e immagini. Infine, gli altri moduli si occupano del monitoraggio del dispositivo e dell’esfiltrazione di altri tipi di documenti da Desktop e Download, acquisendo screenshot quando necessario.
Gli operatori, dunque, spesso procedono con l’attivazione di un ransomware per bloccare i file della vittima e procedere con il solito ricatto per eliminare i file rubati e riottenere l’accesso.
Come evitare questo virus? Molto semplicemente, bisogna ricordarsi di non scaricare alcun allegato da mail la cui origine è dubbia: se si ha un minimo sospetto, insomma, meglio non procedere con l’apertura dei file inclusi nei messaggi di posta elettronica.