【战略情报】EvilExtractor恶意软件活动在欧洲和美国激增

2023年4月20日，fortinet发布报告称，传播EvilExtractor数据窃取工具的攻击有所增加，该工具用于窃取欧洲和美国用户的敏感数据。该报告称，EvilExtractor的部署在2023年3月激增，其中大多数感染来自链接的网络钓鱼活动。

EvilExtractor由一家名为Kodex的公司以59美元/月的价格出售，具有七个攻击模块，包括勒索软件、凭据提取和Windows Defender绕过等。虽然作为合法工具销售，但EvilExtractor主要被黑客论坛上的威胁者使用，威胁者使用EvilExtractor作为信息窃取恶意软件。

Recorded Future的威胁情报分析师Allan Liska发布twitter信息称，Recorded Future于2022年10月首次观察到Evil Extractor在Cracked和Nulled论坛上出售。

1、恶意活动在2023年3月显着增加。根据fortinet对evilextractor[.]com的流量数据显示，恶意活动在2023年3月显着增加。FortiGuard Labs在3月30 日的网络钓鱼电子邮件活动中观察到该恶意软件，并分析包含样本。EvilExtractor通常伪装成合法文件，例如Adobe PDF或Dropbox文件，一旦加载，就会利用PowerShell进行恶意活动，还包含环境检查和防虚拟机功能。该恶意软件主要目的似乎是从受感染端点窃取浏览器数据和信息，然后将其上传到攻击者的FTP服务器。

2、大多数受害者位于欧洲和美国。Fortinet分析了注入受害者系统的恶意软件的一个版本，作为分析的一部分，确定EvilExtractor恶意活动的大多数受害者位于欧洲和美国。开发者于2022年10月发布了其项目，并不断更新以提高稳定性。

3、EvilExtractor被用作具有多种恶意功能（包括勒索软件）的综合信息窃取器。它的PowerShell脚本可以逃避.NET加载程序或PyArmor的检测。在很短的时间内，其开发人员更新了多项功能并提高了稳定性。

IP：
45[.]87[.]81[.]184
193[.]42[.]33[.]232

SHA256：
352efd1645982b8d23a841107007c8b4b024eb6bb5d6b312e5783ce4aa62b685
023548a5ce0de9f8b748a2fd8c4d1ae6c924c40acbde32e9599c868115d11f4e
75688c32a3c1f04df0fc02491180c8079d7fdc0babed981f5860f22f5e118a5e
826c7c112dd1ae80469ef81f5066003d7691a349e6234c8f8ca9637b0984fc45
b1ef1654839b73f03b73c4ef4e20ce4ecdef2236ec6e1ca36881438bc1758dcd
17672795fb0c8df81ab33f5403e0e8ed15f4b2ac1e8ac9fef1fec4928387a36d

https://www.fortinet.com/blog/threat-research/evil-extractor-all-in-one-stealer