I ricercatori di Fortinet hanno scoperto un nuovo info-stealer che permette di rubare i dati dai computer Windows in Europa e Stati Uniti. EvilExtractor viene venduto dall’azienda Kodex in abbonamento (59 dollari/mese). Il malware è composto da vari moduli, può distribuire un ransomware e include funzionalità specifiche per aggirare i controlli di sicurezza.

EvilExtractor: info-stealer all-in-one

L’accesso iniziale ai dispositivi viene ottenuto attraverso il classico phishing. In allegato all’email c’è un archivio gzip che contiene un eseguibile Python mascherato come documento PDF. Quando avviato, il file lancia un loader .NET che usa uno script PowerShell per eseguire EvilExtractor.

Il malware è composto da almeno otto moduli, tre dei quali permettono di verificare la presenza di macchine virtuali, sandbox e soluzioni di sicurezza che potrebbero rilevare la sua presenza. Vengono quindi scaricati da un server remoto tre componenti che servono per rubare i dati. Il primo raccoglie cookie, password e cronologia dai principali browser. Il secondo registra i tasti premuti (keylogger), mentre il terzo può attivare la webcam, con quale cattura immagini e video.

EvilExtractor cattura anche screenshot e accede a numerosi file (documenti, immagini, video, archivi compressi e altri). Un altro modulo invia tutti i dati al server FTP controllato dai cybercriminali. Infine viene scaricato il ransomware sul computer e mostrato il testo con le istruzioni da seguire per pagare il riscatto (1.000 dollari in Bitcoin).

Gli sviluppatori del malware hanno aggiunto diverse funzionalità da ottobre 2022, quindi viene continuamente aggiornato. La maggioranza delle vittime sono in Europa e Stati Uniti. È consigliata l’installazione di un buon antivirus che blocca questa pericolosa minaccia.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.