La ricerca condotta da FortiGuard Labs mostra che i criminali informatici starebbero utilizzando EvilExtractor attivamente come infostealer.
Gli attori malevoli con EvilExtractor, un progetto sviluppato e commercializzato da una società chiamata Kodex come strumento educativo, tramite una campagna di phishing starebbero prendendo di mira i sistemi operativi Windows per estrarre dati e file dai dispositivi endpoint tramite diversi moduli che funzionano tutti tramite un servizio FTP.
L’e-mail di phishing si spaccia come richiesta di conferma dettagli account e propina alla vittima un eseguibile allegato e camuffato da file Adobe PDF (account_Info.exe).
L’eseguibile, un programma Python, contiene uno strumento di offuscamento e un loader .NET in grado di estrarre EvilExtractor.
Vale la pena notare che EvilExtractor oltre a possedere vari moduli per sottrarre password, cookie e registrare le sequenze tasti contiene anche un modulo ransomware.
Sebbene lo sviluppatore abbia rilasciato il suo progetto nell’ottobre 2022, in pochissimo tempo ne ha aggiornato diverse funzioni e ne ha aumentato stabilità e forza. Gli utenti pertanto dovrebbero essere consapevoli di questa nuova minaccia e continuare a prestare attenzione agli attacchi di phishing e malspam.
Secondo FortiGuard Labs la maggior parte delle vittime si troverebbe in Europa e in America.