Evil Extractor Targets Windows Devices to Steal Sensitive Data
2023/04/21 InfoSecurity — Kodex が “教育用“ として開発した、Evil Extractor という攻撃ツールが、Windows ベースのマシンを標的とした攻撃に悪用されている。2023年4月10日 (木) に公開されたアドバイザリで、「このマルウェアは、3月30日に観測されたフィッシング・キャンペーンで見つかったものであり、アドバイザリに含まれるサンプルまで辿り着いた。このキャンペーンは、正規の Adobe PDF や Dropbox ファイルなどを装うものであり、ロードすると PowerShell を活用した悪意の活動を開始する」と、Fortinet のセキュリティ研究者たちは主張している。
Evil Extractor は複数のモジュールを含み、FTP (File Transfer Protocol) サービス経由で動作する。そして、検出を回避するために設計された、環境チェック/アンチ仮想マシン /アンチ VirusTotal 機能のほか、”Kodex Ransomware” と呼ばれるランサムウェア機能を備えている。
Fortinet は、「我々は最近、被害者のシステムに注入された Evil Extractor を調査した。その分析の過程で、その被害者の大半がヨーロッパとアメリカのユーザーであることが判明した」と説明している。同社のアドバイザリによると、このマルウェアを 2022年10月にリリースされ、安定性や悪意の能力を向上させるために、アップデートを続けていたという。
Fortinet は、「Evil Extractor は、ランサムウェアなどの複数の悪意の機能を持つ、包括的な情報スティーラーとして使用されている。その PowerShell スクリプトは、.NET ローダーや PyArmor などの検出をすり抜けることができる。ユーザーは、この新しい情報スティーラーに注意し、不審なメールに対して引き続き注意する必要がある」と締め括っている。
先日には、Open Text Cybersecurity の専門家たちが、HTTPS フィッシング・サイトの急増に警告を発している。その数週間後に、同社のアドバイザリが公開されたが、そこにはマルウェアの侵害指標も記載されている。
この記事の冒頭に記載されている、「Kodex が “教育用“ として開発した」という部分ですが、Fortinet のレポートから引用されていました。しかし、文脈から追っていくと、Evil Extractor は明確な攻撃ツールだと解釈できます。よろしければ、情報スティーラー関連の記事も、ご参照ください。
2023/02/23:S1deload Stealer が登場:FB/YT ユーザーが標的
2023/02/21:Stealc 情報スティーラーは MaaS へと進化
2023/01/30:Titan Stealer という情報スティーラーを発見
IoT OT Security News 
You must be logged in to post a comment.