.png)
يتم تسويق برنامج ضار جديد "متعدد الإمكانات" يسمى EvilExtractor (مكتوب أيضًا Evil Extractor) للبيع لممثلي التهديدات الآخرين لسرقة البيانات والملفات من أنظمة Windows.
وقالت كارا لين الباحثة في Fortinet FortiGuard Labs: "إنها تتضمن عدة وحدات تعمل جميعها عبر خدمة FTP" . "يحتوي أيضًا على وظائف التحقق من البيئة ومضاد الجهاز الظاهري. ويبدو أن الغرض الأساسي منه هو سرقة بيانات ومعلومات المتصفح من نقاط النهاية المخترقة ثم تحميلها على خادم FTP الخاص بالمهاجم."
قالت شركة أمن الشبكات إنها لاحظت زيادة في الهجمات التي تنشر البرمجيات الخبيثة في البرية في مارس 2023 ، مع وجود غالبية الضحايا في أوروبا والولايات المتحدة. بينما تم تسويقها كأداة تعليمية ، تم اعتماد EvilExtractor من قبل الجهات الفاعلة في التهديد لاستخدامها مثل سارق المعلومات.
يتم بيع أداة الهجوم بواسطة ممثل يُدعى Kodex في منتديات جرائم الإنترنت مثل Cracked التي يعود تاريخها إلى 22 أكتوبر 2022. يتم تحديثها باستمرار وحزمها في وحدات مختلفة لسحب البيانات الوصفية للنظام وكلمات المرور وملفات تعريف الارتباط من متصفحات الويب المختلفة بالإضافة إلى تسجيل ضربات المفاتيح و حتى تعمل كبرنامج فدية عن طريق تشفير الملفات على النظام الهدف.
يقال أيضًا أن البرنامج الضار قد تم استخدامه كجزء من حملة بريد إلكتروني للتصيد الاحتيالي اكتشفتها الشركة في 30 مارس 2023. تجذب رسائل البريد الإلكتروني المستلمين إلى إطلاق ملف قابل للتنفيذ يتنكر في شكل مستند PDF بحجة تأكيد "تفاصيل حساباتهم". "
البرنامج الثنائي "Account_Info.exe" هو برنامج Python مبهم مصمم لتشغيل محمل .NET يستخدم برنامج PowerShell النصي المشفر Base64 لتشغيل EvilExtractor. يمكن للبرامج الضارة ، إلى جانب تجميع الملفات ، تنشيط كاميرا الويب والتقاط لقطات شاشة.
قال لين: "يتم استخدام EvilExtractor كمخترق معلومات شامل مع ميزات ضارة متعددة ، بما في ذلك برامج الفدية". "يمكن أن يتعذر اكتشاف برنامج PowerShell النصي في محمل .NET أو PyArmor. في غضون وقت قصير جدًا ، قام مطور البرنامج بتحديث العديد من الوظائف وزيادة ثباتها."
تأتي هذه النتائج في الوقت الذي قامت فيه وحدة Secureworks Counter Threat Unit (CTU) بتفصيل حملة تسمم عن الإعلانات الخبيثة وكبار المسئولين الاقتصاديين تستخدم لتسليم أداة تحميل البرامج الضارة Bumblebee عبر مثبتات طروادة للبرامج الشرعية.
تم توثيق Bumbleebee لأول مرة قبل عام من قبل مجموعة تحليل التهديدات و Proofpoint من Google ، وهو أداة تحميل معيارية تنتشر بشكل أساسي من خلال تقنيات التصيد الاحتيالي. يُشتبه في أنه تم تطويره بواسطة جهات فاعلة مرتبطة بعملية Conti ransomware كبديل لـ BazarLoader.
شهد استخدام تسمم مُحسّنات محرّكات البحث والإعلانات الضارة لإعادة توجيه المستخدمين الذين يبحثون عن أدوات شائعة مثل ChatGPT و Cisco AnyConnect و Citrix Workspace و Zoom إلى مواقع الويب المارقة التي تستضيف مثبتات ملوثة ارتفاعًا حادًا في الأشهر الأخيرة بعد أن بدأت Microsoft في حظر وحدات الماكرو افتراضيًا من ملفات Office التي تم تنزيلها من الإنترنت.
في إحدى الحوادث التي وصفتها شركة الأمن السيبراني ، استخدم ممثل التهديد البرنامج الضار Bumblebee للحصول على نقطة دخول والتحرك بشكل جانبي بعد ثلاث ساعات لنشر Cobalt Strike وبرامج الوصول عن بُعد المشروعة مثل AnyDesk و Dameware. تم تعطيل الهجوم في النهاية قبل أن ينتقل إلى المرحلة النهائية من برنامج الفدية.
قال Secureworks "للتخفيف من هذا والتهديدات المماثلة ، يجب على المؤسسات التأكد من أن مثبتات البرامج والتحديثات يتم تنزيلها فقط من مواقع الويب المعروفة والموثوق بها". "يجب ألا يكون لدى المستخدمين امتيازات لتثبيت البرامج وتشغيل البرامج النصية على أجهزة الكمبيوتر الخاصة بهم."