Vol de données : pic d’activité pour le malware EvilExtracktor en Europe et en Amérique
Des chercheurs en sécurité ont constaté une forte augmentation des attaques du logiciel malveillant EvilExtractor, notamment en Europe et en Amérique. L'objectif de ce malware est clair : voler vos données.
Comme les ransomwares, les malwares de type "info stealer" qui ont pour objectif de voler des données sur les machines infectées, sont très actifs et clairement "à la mode" ! Celui que l'on appelle "EvilExtracktor" ou "Evil Extracktor" est commercialisé sur le Dark Web depuis le début de l'année 2022. Par exemple, une société nommée Kodex offre l'accès à ce malware en l'échange d'un abonnement facturé 59 dollars par mois, en le proposant en tant qu'outil éducatif....
D'après un rapport mis en ligne par les chercheurs en sécurité de chez Fortinet, il est utilisé actuellement dans le cadre de campagnes d'attaques avec une première détection dans une campagne de phishing le 30 mars 2023 : "D'après nos données sur les sources de trafic vers l'hôte, evilextractor[.]com, l'activité malveillante a augmenté de manière significative en mars 2023."
Une fois de plus, une campagne de phishing est utilisée pour diffuser ce logiciel malveillant. Le rapport de Fortinet précise qu'il se cache dans un fichier attaché en pièce jointe à l'e-mail, en prenant la forme d'un exécutable compressé en GZIP. Pour créer l'illusion que le fichier est légitime, il apparait comme un fichier PDF ou Dropbox légitime, mais en réalité il s'agit d'un exécutable codé en Python.
EvilExtracktor, un enfer pour vos données (et votre vie privée)
Une fois actif sur la machine infectée, EvilExtracktor s'appuie sur PowerShell pour réaliser des actions malveillantes : voler des données sur la machine compromise, notamment les identifiants enregistrés dans les navigateurs afin d'exfiltrer ces données vers le serveur FTP de l'attaquant. Il est capable aussi de voler les cookies de navigation stockés par vos navigateurs (Chrome, Edge, Opera et Firefox).
Cela ne s'arrête pas là, car il intègre plusieurs modules : anti-sandbox, anti-VM, anti-scanner, keylogger, récupération des données dans le profil de l'utilisateur (Bureau, Téléchargements, etc.), et il peut aussi prendre des photos et vidéos avec la webcam de votre machine. Un module "ransomware" est également évoqué.
Fortinet affirme que les attaques récentes ont eu lieu en Europe et en Amérique : "Nous avons récemment examiné une version du logiciel malveillant qui a été injectée dans le système d'une victime et, dans le cadre de cette analyse, nous avons constaté que la plupart des victimes se trouvent en Europe et en Amérique."
