Een nieuwe malware genaamd EvilExtractor, ook wel gespeld als Evil Extractor, is opgedoken op de markt. Bedreigers met dit all-in-one stealer virus kunnen bestanden en andere informatie van Windows PC’s stelen. Het virus bestaat uit verschillende modules die een FTP-server gebruiken en anti-VM- of milieutestfuncties hebben. Het primaire doel van EvilExtractor is het downloaden van bestanden en browse-inhoud van gehackte eindpunten naar het FTP-domein van de indringer.

Fortinet Het virus wordt aangeprezen als instructiemiddel, maar hackers hebben het omarmd als gegevensdief, aldus Cara Lin, een expert bij FortiGuard Labs. In maart 2023 zag Fortinet een piek in aanvallen die het virus in het wild verspreidden, met de meeste doelwitten in Europa en de Verenigde Staten.

Lees ook: “Pas op voor YouTube-video’s die Aurora Stealer Malware verspreiden via geavanceerde lader”.

Op websites als Cracked verkoopt een hacker met de naam Kodex ransomware. Het is voortdurend bijgewerkt met verschillende modules om systeemmetadata, wachtwoorden, cookies en toetsaanslagen te onderscheppen. EvilExtractor kan gegevens op het apparaat van het slachtoffer versleutelen en malwarefuncties uitvoeren. Volgens berichten werd het virus ingezet als onderdeel van een phishing e-mail poging waarbij gebruikers werden overgehaald een bestand te openen dat eruitzag als een bestand in PDF formaat en hun inloggegevens te verifiëren.

EvilExtractor kan de verdenking van een.NET importer of PyArmor ontwijken en bevat schadelijke kenmerken, zoals ransomware. Het is een complete datadief omdat het de webcam kan aanzetten en snapshots kan maken.

De SecureWorks Counter Threat Unit (CTU) heeft een poging tot malvertising en SEO-vergiftiging beschreven om de Bumblebee-virusversneller te verspreiden via getrojaniseerde distributeurs van betrouwbare programma’s. Bumblebee is een veelzijdige loader die zich voornamelijk verspreidt via phishing-methoden. Er wordt aangenomen dat iemand die verbonden is met de Conti ransomware activiteit het heeft gemaakt. De laatste tijd is er een toename van SEO-vergiftiging en frauduleuze advertenties die mensen die op zoek zijn naar bekende oplossingen zoals ChatGPT, Cisco AnyConnect, Citrix Workspace en Zoom naar frauduleuze websites sturen die vervuilde software aanbieden.

Om deze risico’s te beperken, moeten bedrijven ervoor zorgen dat programma-installaties en -upgrades alleen worden verkregen van gerenommeerde bronnen. Gebruikers mogen geen programma’s uitvoeren of instructies geven op hun apparaten.