Phần mềm độc hại EvilExtractor được rao bán trên Dark Web

Thứ bảy, 06/05/2023 11:37

Mới đây, một phần mềm độc hại có thể đánh cắp thông tin có tên EvilExtractor đã được rao bán trên chợ đen (Dark Web). Được quảng cáo là cung cấp tất cả tính năng trong một phần mềm, mã độc này được rao bán cho những kẻ tấn công với mục đích đánh cắp dữ liệu và tệp từ hệ thống Windows.

 Nhà nghiên cứu Cara Lin của Fortinet cho biết: Mã độc bao gồm một số mô-đun hoạt động thông qua dịch vụ FTP. EvilExtractor chứa các chức năng kiểm tra môi trường và Anti-VM. Dường như mục tiêu của mã độc là đánh cắp dữ liệu trình duyệt và thông tin từ các điểm cuối bị xâm nhập, sau đó tải lên máy chủ FTP của kẻ tấn công.

20230605-pg7.jpg

Fortinet cho biết, hãng nhận thấy có sự gia tăng các cuộc tấn công phát tán phần mềm độc hại EvilExtractor vào tháng 3/2023 hầu hết ở Châu Âu và Hoa Kỳ.

Tháng 10/2022, EvilExtractor đã được rao bán trên diễn đàn tội phạm mạng Cracked bởi một người tên Kodex. Mã độc liên tục được cập nhật, tích hợp nhiều mô-đun khác nhau để đánh cắp thông tin hệ thống, mật khẩu và cookie từ các trình duyệt web, ghi lại các lần nhấn phím (record keystrokes) và có thể hoạt động như một phần mềm tống tiền bằng cách mã hóa các tập tin trên hệ thống mục tiêu.

Phần mềm độc hại này được cho là đã được sử dụng trong một chiến dịch email lừa đảo được phát hiện vào ngày 30/3. Trong chiến dịch này, kẻ tấn công gửi các email lừa người nhận khởi chạy một tệp thực thi giả mạo tài liệu PDF với lời đề nghị xác nhận chi tiết tài khoản.                       

Cụ thể, tệp tin "Account_Info.exe" là một chương trình Python bị xáo trộn được tạo để khởi chạy EvilExtractor. Ngoài việc thu thập các tập tin, mã độc còn có thể kích hoạt webcam và chụp ảnh màn hình trên hệ thống mục tiêu.

Gần đây, những kẻ tấn công có xu hướng sử dụng kỹ thuật tấn công SEO và quảng cáo phát tán mã độc để chuyển hướng người dùng tìm kiếm trên các công cụ phổ biến như ChatGPT, Cisco AnyConnect, Citrix Workspace và Zoom tới các trang web giả mạo lưu trữ các bản cài đặt bị nhiễm mã độc. Nguyên nhân là do Microsoft đã bắt đầu chặn macro theo mặc định trong các tệp Office được tải xuống từ trên Internet.

Các tổ chức cần đảm bảo rằng các bản cập nhật và cài đặt phần mềm chỉ được tải xuống từ các trang web đáng tin cậy. Ngoài ra, người dùng không có đặc quyền thì không nên tự cài đặt phần mềm hoặc chạy các tập lệnh trên máy tính để giảm thiểu những rủi ro về an ninh mạng.

theo antoanthongtin.vn
banner
icon

Cổng dịch vụ công
Quốc Gia

Những thông tin thủ tục hành chính
khai báo online tại đây

Xem chi tiết icon
icon

Chính sách
pháp luật Việt Nam

Cập nhật thông tin, chính sách
pháp luật Việt Nam

Xem chi tiết icon

Cổng thông tin điện tử của các đơn vị thuộc Bộ

Doanh nghiệp

Top