Además de recopilar archivos, también puede activar la cámara web y realizar capturas de pantalla
Un nuevo malware ladrón "todo en uno" llamado EvilExtractor (también deletreado Evil Extractor) se comercializa para la venta para que otros actores de amenazas roben datos y archivos de los sistemas Windows.
"Incluye varios módulos que funcionan a través de un servicio FTP", dijo Cara Lin, investigadora de Fortinet FortiGuard Labs. "También contiene funciones de verificación del entorno y Anti-VM. Su objetivo principal parece ser robar datos e información del navegador de puntos finales comprometidos y luego cargarlos en el servidor FTP del atacante".
La compañía de seguridad de redes dijo que ha observado un aumento en los ataques que propagan el malware en marzo de 2023, con la mayoría de las víctimas ubicadas en Europa y EE. UU. Si bien se comercializa como una herramienta educativa, EvilExtractor ha sido adoptado por actores de amenazas para su uso como ladrón de información.
Vendido desde el 22 de octubre de 2022 por un actor llamado Kodex en foros de ciberdelincuencia como Cracked, se actualiza continuamente y se empaqueta en varios módulos para desviar los metadatos del sistema, contraseñas y cookies de varios navegadores web, además de registrar pulsaciones de teclas e incluso actuar como ransomware al cifrar archivos en el sistema de destino.
También se dice que el malware se utilizó como parte de una campaña de correo electrónico de phishing detectada por la empresa el 30 de marzo de 2023. Los correos electrónicos atraen a los destinatarios para que inicien un ejecutable que se hace pasar por un documento PDF con el pretexto de confirmar los "detalles de su cuenta".
El binario "Account_Info.exe" es un programa de Python ofuscado diseñado para iniciar un cargador .NET que utiliza un script de PowerShell codificado en Base64 para iniciar EvilExtractor. El malware, además de recopilar archivos, también puede activar la cámara web y realizar capturas de pantalla.
"EvilExtractor se está utilizando como un ladrón de información integral con múltiples funciones maliciosas, incluido el ransomware", dijo Lin. "Su secuencia de comandos PowerShell puede eludir la detección en un cargador .NET o PyArmor. En muy poco tiempo, su desarrollador actualizó varias funciones y aumentó su estabilidad".
Los hallazgos se producen cuando Secureworks Counter Threat Unit (CTU) detalló una campaña de publicidad maliciosa y envenenamiento de SEO utilizada para entregar el cargador de malware Bumblebee a través de instaladores troyanos de software legítimo.
Bumblebee, documentado por primera vez hace un año por Threat Analysis Group y Proofpoint de Google, es un cargador modular que se propaga principalmente a través de técnicas de phishing. Se sospecha que fue desarrollado por actores asociados con la operación de ransomware Conti como reemplazo de BazarLoader.
El uso de envenenamiento de SEO y anuncios maliciosos para redirigir a los usuarios que buscan populares herramientas como ChatGPT, Cisco AnyConnect, Citrix Workspace, y Zoom, a sitios web no autorizados que alojan instaladores contaminados ha experimentado un aumento en los últimos meses después de que Microsoft comenzó a bloquear las macros de forma predeterminada de los archivos de Office descargados de Internet.
En un incidente descrito por la firma de ciberseguridad, el actor de amenazas usó el malware Bumblebee para obtener un punto de entrada y moverse lateralmente después de tres horas para implementar Cobalt Strike y software legítimo de acceso remoto como AnyDesk y Dameware. El ataque finalmente se interrumpió antes de pasar a la etapa final de ransomware.
"Para mitigar esta y otras amenazas similares, las organizaciones deben asegurarse de que los instaladores y las actualizaciones de software solo se descarguen de sitios web conocidos y confiables", dijo Secureworks. "Los usuarios no deberían tener privilegios para instalar software y ejecutar scripts en sus computadoras".
