"EvilExtractor" para sistemas Windows aparece en la Dark Web

Un nuevo malware ladrón "todo en uno" llamado EvilExtractor (también deletreado Evil Extractor) se está comercializando para la venta para que otros actores de amenazas roben datos y archivos de los sistemas Windows.

"Incluye varios módulos que funcionan a través de un servicio FTP", dijo Cara Lin, investigadora de Fortinet FortiGuard Labs. "También contiene comprobación del entorno y funciones Anti-VM. Su propósito principal parece ser robar datos e información del navegador de puntos finales comprometidos y luego cargarlos en el servidor FTP del atacante".

La compañía de seguridad de red dijo que observó un aumento en los ataques que propagan el malware en la naturaleza en marzo de 2023, con la mayoría de las víctimas ubicadas en Europa y Estados Unidos. Si bien se comercializa como una herramienta educativa, EvilExtractor ha sido adoptado por actores de amenazas para su uso como ladrón de información.

La herramienta de ataque está siendo vendida por un actor llamado Kodex en foros de delitos cibernéticos como Cracked que datan del 22 de octubre de 2022. Se actualiza continuamente y incluye varios módulos para desviar metadatos del sistema, contraseñas y cookies de varios navegadores web, así como registrar pulsaciones de teclas e incluso actuar como un ransomware al cifrar archivos en el sistema de destino.

También se dice que el malware se utilizó como parte de una campaña de correo electrónico de phishing detectada por la compañía el 30 de marzo de 2023. Los correos electrónicos atraen a los destinatarios a lanzar un ejecutable que se hace pasar por un documento PDF con el pretexto de confirmar los "detalles de su cuenta".

El binario "Account_Info.exe" es un programa Python ofuscado diseñado para iniciar un cargador .NET que usa un script de PowerShell codificado en Base64 para iniciar EvilExtractor. El malware, además de recopilar archivos, también puede activar la cámara web y capturar capturas de pantalla.

"EvilExtractor se está utilizando como un ladrón de información integral con múltiples características maliciosas, incluido el ransomware", dijo Lin. "Su script de PowerShell puede eludir la detección en un cargador .NET o PyArmor. En muy poco tiempo, su desarrollador ha actualizado varias funciones y ha aumentado su estabilidad".

Los hallazgos se producen cuando Secureworks Counter Threat Unit (CTU) detalló una campaña de publicidad maliciosa y envenenamiento SEO utilizada para entregar el cargador de malware Bumblebee a través de instaladores troyanos de software legítimo.


Bumbleebee, documentado por primera vez hace un año por el Grupo de Análisis de Amenazas de Google y Proofpoint, es un cargador modular que se propaga principalmente a través de técnicas de phishing. Se sospecha que fue desarrollado por actores asociados con la operación de ransomware Conti como reemplazo de BazarLoader.

El uso de envenenamiento SEO y anuncios maliciosos para redirigir a los usuarios que buscan herramientas populares como ChatGPT, Cisco AnyConnect, Citrix Workspace y Zoom a sitios web deshonestos que alojan instaladores contaminados ha sido testigo de un aumento en los últimos meses después de que Microsoft comenzó a bloquear macros de forma predeterminada de los archivos de Office descargados de Internet.

En un incidente descrito por la firma de ciberseguridad, el actor de amenazas utilizó el malware Bumblebee para obtener un punto de entrada y moverse lateralmente después de tres horas para implementar Cobalt Strike y software legítimo de acceso remoto como AnyDesk y Dameware. El ataque fue finalmente interrumpido antes de proceder a la etapa final de ransomware.

"Para mitigar esta y otras amenazas similares, las organizaciones deben asegurarse de que los instaladores y actualizaciones de software solo se descarguen de sitios web conocidos y confiables", dijo Secureworks. "Los usuarios no deberían tener privilegios para instalar software y ejecutar scripts en sus computadoras".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta