Ngày 24 tháng 4 năm 2023Ravie LakshmananRủi ro mạng / Dark Web
Phần mềm độc hại ăn cắp “tất cả trong một” mới có tên EvilExtractor (còn được đánh vần là Evil Extractor) đang được rao bán trên thị trường cho các tác nhân đe dọa khác nhằm đánh cắp dữ liệu và tệp từ hệ thống Windows.
“Nó bao gồm một số mô-đun, tất cả đều hoạt động thông qua dịch vụ FTP,” nhà nghiên cứu FortiGuard Labs của Fortinet, Cara Lin cho biết. “Nó cũng chứa các chức năng kiểm tra môi trường và Anti-VM. Mục đích chính của nó dường như là đánh cắp dữ liệu trình duyệt và thông tin từ các điểm cuối bị xâm phạm, sau đó tải nó lên máy chủ FTP của kẻ tấn công.”
Công ty an ninh mạng cho biết họ đã quan sát thấy sự gia tăng các cuộc tấn công phát tán phần mềm độc hại vào tháng 3 năm 2023, với phần lớn nạn nhân ở Châu Âu và Hoa Kỳ. như một kẻ ăn cắp thông tin.
Được bán bởi một diễn viên có tên Kodex trên các diễn đàn tội phạm mạng như Cracked kể từ ngày 22 tháng 10 năm 2022, nó liên tục được cập nhật và đóng gói trong nhiều mô-đun khác nhau để hút siêu dữ liệu hệ thống, mật khẩu và cookie từ nhiều trình duyệt web khác nhau cũng như ghi lại các lần nhấn phím và thậm chí hoạt động như một phần mềm tống tiền bằng cách mã hóa tập tin trên hệ thống đích.
Phần mềm độc hại này cũng được cho là đã được sử dụng như một phần của chiến dịch email lừa đảo được công ty phát hiện vào ngày 30 tháng 3 năm 2023. Các email này dụ người nhận khởi chạy một tệp thực thi giả dạng tài liệu PDF với lý do xác nhận “chi tiết tài khoản” của họ. “
Mã nhị phân “Account_Info.exe” là một chương trình Python bị xáo trộn được thiết kế để khởi chạy trình tải .NET sử dụng tập lệnh PowerShell được mã hóa Base64 để khởi chạy EvilExtractor. Phần mềm độc hại, ngoài việc thu thập tệp, còn có thể kích hoạt webcam và chụp ảnh màn hình.
Lin cho biết: “EvilExtractor đang được sử dụng như một công cụ đánh cắp thông tin toàn diện với nhiều tính năng độc hại, bao gồm cả phần mềm tống tiền. “Tập lệnh PowerShell của nó có thể tránh bị phát hiện trong trình tải .NET hoặc PyArmor. Trong một thời gian rất ngắn, nhà phát triển của nó đã cập nhật một số chức năng và tăng tính ổn định của nó.”
Những phát hiện này được đưa ra khi Đơn vị Chống Đe dọa của Secureworks (CTU) trình bày chi tiết về một chiến dịch quảng cáo độc hại và đầu độc SEO được sử dụng để cung cấp trình tải phần mềm độc hại Bumblebee thông qua các trình cài đặt phần mềm hợp pháp bị trojan hóa.
Bumbleebee, được ghi lại lần đầu tiên cách đây một năm bởi Nhóm phân tích mối đe dọa của Google và Proofpoint, là một trình tải mô-đun chủ yếu lan truyền thông qua các kỹ thuật lừa đảo. Nó bị nghi ngờ là do các tác nhân liên quan đến hoạt động của phần mềm tống tiền Conti phát triển để thay thế cho BazarLoader.
Việc sử dụng đầu độc SEO và quảng cáo độc hại để chuyển hướng người dùng đang tìm kiếm các công cụ phổ biến như ChatGPT, Cisco AnyConnect, Citrix Workspace và Zoom tới các trang web giả mạo lưu trữ trình cài đặt bị nhiễm độc đã tăng đột biến trong những tháng gần đây sau khi Microsoft bắt đầu chặn macro theo mặc định khỏi các tệp Office được tải xuống từ trên mạng.
Trong một sự cố được công ty an ninh mạng mô tả, kẻ đe dọa đã sử dụng phần mềm độc hại Bumblebee để lấy điểm vào và di chuyển ngang sau ba giờ để triển khai Cobalt Strike và phần mềm truy cập từ xa hợp pháp như AnyDesk và Dameware. Cuộc tấn công cuối cùng đã bị phá vỡ trước khi nó chuyển sang giai đoạn ransomware cuối cùng.
“Để giảm thiểu điều này và các mối đe dọa tương tự, các tổ chức nên đảm bảo rằng các bản cập nhật và cài đặt phần mềm chỉ được tải xuống từ các trang web đã biết và đáng tin cậy,” Secureworks cho biết. “Người dùng không được có đặc quyền cài đặt phần mềm và chạy tập lệnh trên máy tính của họ.”
