Дешевый инструмент массового взлома: инфостилер EvilExtractor продается в даркнете за копейки

Новое вредоносное ПО под названием EvilExtractor позиционируется как инструмент для кражи «всё в одном». Он свободно продаётся в даркнете и предлагает покупателям мощный инструментарий для похищения данных и файлов из систем Windows по цене всего 39 долларов США. Не уточняется, разовая ли это покупка или вредонос доступен по подписке, однако обычно вредоносный софт стоит гораздо дороже. Низкий ценник снижает входной порог для новых потенциальных злоумышленников, которые хотели бы похитить чью-либо информацию.

«EvilExtractor включает в себя несколько модулей, которые работают через службу FTP, а также модуль проверки среды и функции Anti-VirtualMachine. Основная цель вредоноса, по-видимому, состоит в том, чтобы украсть данные браузера и информацию из скомпрометированных конечных точек, а затем загрузить их на FTP-сервер хакеров, — сообщает Кара Лин, исследователь Fortinet.

Компания заявила, что в марте 2023 года наблюдала всплеск атак, распространяющих данное вредоносное ПО в дикой природе (ITW), при этом большинство жертв находились в Европе и США.

Исследователи обнаружили, что вредонос доступен к приобретению на киберпреступном форуме Cracked у пользователя по имени Kodex. Инструмент EvilExtractor можно купить с 22 октября 2022 года. Вредонос регулярно обновляется и упаковывается в различные модули для уклонения от обнаружения.

Как сообщается, данное вредоносное ПО использовалось в рамках фишинговой кампании, нацеленной на электронную почту, которая была обнаружена специалистами Fortinet 30 марта этого года. Электронные письма обманом заставляли жертв запустить исполняемый файл «Account_Info.exe», который был тщательно замаскирован под PDF-документ.

Исполняемый файл представлял собой обфусцированную программу на основе Python, предназначенную для запуска загрузчика .NET, использующий сценарий PowerShell в кодировке Base64 для последующего запуска EvilExtractor.

Функционал EvilExtractor включает: перекачивание системных метаданных, паролей и cookie-файлов из различных веб-браузеров, запись нажатий клавиш. Вредоносное ПО, помимо сбора файлов, также может активировать веб-камеру и делать скриншоты. Зловредный софт даже способен действовать как программа-вымогатель путем шифрования файлов в целевой системе.

В целом, данный инструмент представляет нешуточную опасность благодаря довольно обширному функционалу, а регулярные обновления, повышающие скрытность вредоноса и невысокая цена, явно играют на руку автора, чтобы распространить EvilExtractor среди как можно большего числа активных киберпреступников.