ПК на Windows массово атакует троян EvilExtractor

На форумах в даркнете активно предлагается новый вирус EvilExtractor, который представляет собой многофункциональный инструмент для кражи данных у пользователей Windows. Подробности сообщили специалисты Fortinet, которые изучили опасное приложение.

В марте текущего года количество инцидентов с EvilExtractor резко увеличилось и продолжает расти. Больше всего заражений зафиксировано на территории США и стран Европы. При этом EvilExtractor продается за относительно небольшие деньги – всего 39 долларов. Создатель вируса с ником Kodex активно обновляет утилиту, периодически добавляя новые модули.

После проникновения в систему вирус выводит похищенные данные через протокол FTP. При этом злоумышленники могут получать различную информацию, включая историю браузера, нажатия клавиш на клавиатуре, файлы Cookie и пароли. Также утилита способна получать доступ к веб-камере и делать скриншоты экрана. Также есть полноценный модуль шифрования, что позволяет использовать его как вирус-вымогатель.

30 марта была зафиксирована масштабная фишинговая компания, направленная на распространение нового вируса. В сообщении была просьба подтвердить некий аккаунт, причем ссылка была оформлена в виде PDF-файла. Если пользователь кликал по иконке, инициировался запуск исполняемого файла Account_Info.exe. Данная утилита написана на языке Python и упакована при помощи PyInstaller. Данный файл необходим для запуска загрузчика .NET, который запускает скрипт PowerShell, обеспечивающий запуск основного вредоносного компонента.

На начальном этапе запуска EvilExtractor производит проверку, что запуск не осуществляется на виртуальной машине или другой изолированной среде. Также проверяется наличие средств сканирования. При обнаружении любых защитных механизмов вредоносная программа прекращает всю активность и удаляет все свои файлы. Данную схему используют многие вирусы – это позволяет осложнить процесс изучения вредоносных файлов.

В отчете Fortinet не раскрывается, какие именно файлы пытается зашифровать EvilExtractor. Скорее всего, это те же типы файлов, которые утилита пытается отправить на сервер злоумышленников – изображения, видео, аудио, текстовые документы, архивы, а также файлы html, xml, csv.



Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: