Des chercheurs ont observé l'utilisation malveillante d'un outil pédagogique autoproclamé, “Evil Extractor”, pour voler des données. Ils ont constaté que les auteurs de la menace utilisaient Evil Extractor comme voleur d'informations contre les systèmes Windows pour extraire des informations stockées dans les navigateurs web.
Le voleur d'informations Evil Extractor cible Windows
Selon un récent rapport du FortiGuard Labs de Fortinet, une campagne de phishing active cible les utilisateurs de Windows avec l'infostealer Evil Extractor.
Bien que Kodex – le développeur d'Evil Extractor – affirme que l'outil est uniquement éducatif, les chercheurs ont découvert son utilisation malveillante dans des attaques récentes.
Comme l'explique son site web, Evil Extractor est un logiciel de piratage de Windows, doté d'un large éventail de fonctionnalités intrusives.
L'outil propose deux modes de fonctionnement : Single Bullet et RAT. Le mode “Single Bullet” propose six types d'attaques qui s'exécutent via FTP. Le mode “RAT”, quant à lui, permet un accès illimité à l'appareil cible. L'utilisation du mode RAT permet à l'attaquant d'accéder à la caméra de l'appareil, de charger, télécharger ou supprimer des fichiers, de prendre des captures d'écran, etc.
Il présente également des capacités de keylogging, de vol d'identifiants et de vol d'informations et peut contourner Windows Defender. En outre, il ne laisse aucune trace sur l'ordinateur de la victime, ce qui lui permet d'obtenir un accès permanent à l'appareil sans alerte.
Les chercheurs ont détecté son utilisation malveillante active après avoir remarqué un flux de trafic important vers le site web de l'outil. En ce qui concerne la campagne malveillante, FortiGuard a expliqué que l'attaque commence par des courriels d'Hameçonnage contenant des fichiers malveillants. Alors que le fichier semble d'abord légitime, il exploite les activités PowerShell après le téléchargement. En outre, il échappe aux contrôles de sécurité via ses fonctions anti-VM et de vérification de l'environnement.
Une fois effacé, le Logiciel malveillant commence à voler les informations stockées dans les navigateurs web, qu'il transmet ensuite au serveur FTP de l'attaquant. Les données volées comprennent les identifiants de connexion, l'historique de navigation et d'autres données. Les navigateurs ciblés sont Google Chrome, Mozilla Firefox, Opera et Microsoft Edge.
En outre, l'outil extrait également des informations sensibles sur l'appareil, notamment les spécifications du système, les composants matériels et les identifiants de l'appareil.
Les chercheurs ont également mis en évidence les capacités de ransomware d'Evil Extractor, qui peuvent être dévastatrices si elles sont exploitées dans la nature.
Pour l'instant, les attaques semblent se concentrer sur les utilisateurs en Europe et aux États-Unis. Néanmoins, il n'est pas impossible que cette technique attire davantage l'attention et s'étende à d'autres pays.
La vigilance est la clé pour prévenir de telles attaques
Bien qu'Evil Extractor possède des capacités malveillantes et furtives avancées, il n'est pas impossible de l'empêcher puisqu'il nécessite toujours l'intervention de l'utilisateur pour atteindre un appareil cible.
Par exemple, dans le scénario de phishing expliqué par FortiGuard, la victime perd sa machine au profit de l'attaquant juste après avoir cliqué ou téléchargé le document malicieusement conçu dans l'e-mail de phishing.
Par conséquent, une mesure de protection cruciale reste pour les utilisateurs de rester vigilants. Les utilisateurs doivent éviter d'interagir avec des courriels, des messages et des fichiers audio non sollicités, et de cliquer sur des liens web, quelle que soit l'urgence apparente. En cas d'ambiguïté, les utilisateurs doivent contacter l'expéditeur supposé via une autre source pour valider la légitimité du courriel ou du message.
Faites-nous part de votre avis dans les commentaires.
