24 avril 2023Ravie LakshmananCyber-risque / Dark Web

Stealer Pour Windows

Un nouveau malware voleur « tout-en-un » nommé EvilExtractor (également orthographié Evil Extractor) est commercialisé pour être vendu à d’autres acteurs de la menace afin de voler des données et des fichiers à partir de systèmes Windows.

« Il comprend plusieurs modules qui fonctionnent tous via un service FTP », a déclaré Cara Lin, chercheuse chez Fortinet FortiGuard Labs. a dit. « Il contient également des fonctions de vérification de l’environnement et d’anti-VM. Son objectif principal semble être de voler les données et les informations du navigateur des terminaux compromis, puis de les télécharger sur le serveur FTP de l’attaquant. »

La société de sécurité réseau a déclaré avoir observé une augmentation des attaques propageant le malware dans la nature en mars 2023, la majorité des victimes étant situées en Europe et aux États-Unis. Bien que commercialisé comme un outil éducatif, EvilExtractor a été adopté par les acteurs de la menace pour une utilisation comme voleur d’informations.

Vendu par un acteur nommé Kodex sur des forums de cybercriminalité comme Cracked depuis le 22 octobre 2022, il est continuellement mis à jour et intègre divers modules pour siphonner les métadonnées du système, les mots de passe et les cookies de divers navigateurs Web ainsi que pour enregistrer les frappes au clavier et même agir comme un ransomware en cryptant fichiers sur le système cible.

Publicité

Le logiciel malveillant aurait également été utilisé dans le cadre d’une campagne d’e-mails de phishing détectée par l’entreprise le 30 mars 2023. Les e-mails incitent les destinataires à lancer un exécutable qui se fait passer pour un document PDF sous prétexte de confirmer leurs « détails de compte ». « 

Le binaire « Account_Info.exe » est un programme Python obscurci conçu pour lancer un chargeur .NET qui utilise un script PowerShell codé en Base64 pour lancer EvilExtractor. Le logiciel malveillant, en plus de collecter des fichiers, peut également activer la webcam et capturer des captures d’écran.

« EvilExtractor est utilisé comme un voleur d’informations complet avec de multiples fonctionnalités malveillantes, y compris des ransomwares », a déclaré Lin. « Son script PowerShell peut échapper à la détection dans un chargeur .NET ou PyArmor. En très peu de temps, son développeur a mis à jour plusieurs fonctions et augmenté sa stabilité. »

Les découvertes arrivent en tant que Secureworks Counter Threat Unit (CTU) détaillé une campagne de publicité malveillante et d’empoisonnement SEO utilisée pour fournir le chargeur de logiciels malveillants Bumblebee via des installateurs de logiciels légitimes contenant des chevaux de Troie.

Web Sombre

Bumbleebee, documenté pour la première fois il y a un an par le groupe d’analyse des menaces de Google et Proofpoint, est un chargeur modulaire qui se propage principalement par le biais de techniques de phishing. Il est soupçonné d’être développé par des acteurs associés à l’opération de rançongiciel Conti en remplacement de BazarLoader.

WEBINAIRE À VENIR

Zero Trust + Deception : apprenez à déjouer les attaquants !

Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !

Sauvez ma place !

L’utilisation d’empoisonnement SEO et de publicités malveillantes pour rediriger les utilisateurs à la recherche d’outils populaires tels que ChatGPT, Cisco AnyConnect, Citrix Workspace et Zoom vers des sites Web malveillants hébergeant des installateurs corrompus a connu un pic ces derniers mois après que Microsoft a commencé à bloquer les macros par défaut à partir des fichiers Office téléchargés. à partir d’Internet.

Dans un incident décrit par la société de cybersécurité, l’acteur de la menace a utilisé le logiciel malveillant Bumblebee pour obtenir un point d’entrée et se déplacer latéralement après trois heures pour déployer Cobalt Strike et des logiciels d’accès à distance légitimes comme AnyDesk et Dameware. L’attaque a finalement été interrompue avant de passer à l’étape finale du ransomware.

« Pour atténuer cela et des menaces similaires, les organisations doivent s’assurer que les programmes d’installation et les mises à jour de logiciels ne sont téléchargés qu’à partir de sites Web connus et fiables », a déclaré Secureworks. « Les utilisateurs ne doivent pas avoir les privilèges d’installer des logiciels et d’exécuter des scripts sur leurs ordinateurs. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


4.9/5 - (8 votes)
Publicité
Article précédentComment installer et configurer le serveur OpenSSH sous Linux
Article suivantQui est Minecraft Dirt Block Guy ? La star de TikTok devient virale après avoir teint les cheveux en vert
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici