Gli esperti hanno individuato una nuova minaccia informatica che sta circolando su internet: Evil Extractor, un malware che ruba dati sensibili delle vittime e, in alcuni casi, arriva anche a diffondere ransomware.
La scoperta di Evil Extractor
I ricercatori in cybersecurity di Fortinet hanno scoperto il malware Evil Extractor e ne hanno pubblicato i dettagli in un post sul loro blog. Secondo quanto emerso, il malware è stato sviluppato e distribuito da una società chiamata Kodex, che lo pubblicizza come uno “strumento educativo”.
Modalità di diffusione
Evil Extractor è stato individuato in una campagna di phishing via email il 30 marzo. Solitamente si presenta come un file legittimo, come un PDF di Adobe o un file Dropbox, ma una volta aperto, inizia ad attivare attività malevole tramite PowerShell.
Come funziona e come evita il rilevamento
Le attività malevole messe in atto dal malware includono uno strumento di analisi dell’ambiente e un infostealer. In questo modo, Evil Extractor verifica di non essere stato attivato in un honeypot e, successivamente, raccoglie il maggior numero possibile di informazioni sensibili dal dispositivo infetto, inviandole al server FTP del cybercriminale. Il malware presenta anche funzionalità di ransomware.
Il ransomware Kodex
Chiamato Kodex Ransomware, questo strumento scarica il file zzyy.zip dal sito evilextractor[.]com, che contiene 7za.exe, un eseguibile che cripta i file utilizzando il parametro “-p”, il che significa che i file vengono compressi con una password. Come di consueto, il malware lascia un messaggio di riscatto, chiedendo 1.000 dollari in Bitcoin in cambio della chiave di decriptazione. Se il pagamento non viene effettuato, i file rimarranno inaccessibili per sempre.
Vittime principalmente in Europa e America
Evil Extractor sembra colpire principalmente utenti in Europa e America. Al momento, non si sa se gli operatori del malware siano riusciti a diffondere con successo il ransomware o quante vittime abbiano colpito fino ad oggi.