EvilExtractor: скриптовый Windows-стилер с функциями вымогателя

Татьяна Никитина 24 Апреля 2023 - 16:00

Домашние пользователи

...

Эксперты Fortinet фиксируют рост количества имейл-атак, нацеленных на засев EvilExtractor — модульного инфостилера для Windows, доступного в даркнете. По словам продавца (некто Kodex), инструмент был создан в образовательных целях, однако наблюдения показали, что его с февраля активно используют для кражи данных.

Первая реклама EvilExtractor появилась на хакерском форуме Cracked в октябре прошлого года. Связанная с ним вредоносная активность, по данным аналитиков, резко повысилась в марте; наибольшее количество заражений было зафиксировано в Европе и Америке.

В предпоследний день марта злоумышленники провели масштабную имейл-рассылку. Поддельные письма имитировали запрос на подтверждение аккаунта и содержали вложенный архив с исполняемым файлом, замаскированным под документ PDF.

Анализ показал, что Account_Info.exe представляет собой Python-программу, упакованную с помощью PyInstaller. Кроме нее, был обнаружен загрузчик на .NET, используемый для извлечения основного кода EvilExtractor — закодированного по Base64 скрипта PowerShell, состоящего из модулей со следующими функциями:

проверка даты и времени;
противодействие запуску в песочнице;
анти-ВМ;
выявление антивирусных сканеров;
настройка FTP-сервера;
кража данных;
вывод краденого;
очистка журнала.

При запуске вредонос проверяет системное время, наличие опасных для него продуктов (по списку из 187 имен) и имя хоста. Обнаружив враждебное окружение, EvilExtractor завершает свой процесс. При отсутствии угрозы раскрытия он загружает со своего сайта три дополнительных Python-компонента (обфусцированы с использованием PyArmor): KK2023.zip, Confirm.zip, и MnMs.zip.

Первый ворует куки из Google Chrome, Microsoft Edge, Opera и Firefox, а также историю и сохраненные пароли из браузеров более широкого спектра. Второй модуль представляет собой кейлогер, третий работает с веб-камерой: включает ее, захватывает видео или изображения и выгружает файлы на FTP-сервер, арендуемый Kodex.

Зловред также ворует документы и файлы мультимедиа с рабочего стола и из Загрузок, делает снимки экрана и отправляет все краденые данные оператору. В .NET-загрузчике скрыт еще один модуль — скрипт PowerShell, загружающий с сайта evilextractor[.]com примитивную вымогательскую программу (zzyy.zip с исполняемым файлом 7za.exe).

Данный вредонос не шифрует файлы, а архивирует их и запароливает, а затем создает короткую записку с требованием выкупа.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Июня 2026 - 19:18

Атаки на сайты DDoS-атаки Целевые атаки Таргетированные атаки Домашние пользователи Корпорации

Астрал подтвердил целевую кибератаку после недельного сбоя сервисов

ГК «Астрал» впервые подробно прокомментировала масштабный сбой, который уже несколько дней влияет на работу её сервисов. Компания официально признала, что 9 июня подверглась серии целенаправленных хакерских атак.

По словам представителей «Астрала», именно атака стала причиной остановки ряда сервисов.

С первого дня специалисты компании работают над восстановлением инфраструктуры в круглосуточном режиме, а полностью завершить восстановление планируется 16 июня.

В компании также сообщили, что параллельно началось расследование с участием государственных органов в сфере информационной безопасности. По этой причине «Астрал» была ограничена в возможности публично комментировать происходящее.

Один из главных вопросов клиентов — что с данными? Здесь компания пытается успокоить пользователей. По результатам проведённой проверки признаков утечки или компрометации данных не обнаружено. Более того, защитные механизмы после инцидента были дополнительно усилены.

Почему восстановление заняло почти неделю? В «Астрале» объясняют это необходимостью полной проверки каждого сервиса перед возвращением в эксплуатацию. Компания подчёркивает, что не собирается жертвовать безопасностью ради более быстрого запуска.

По состоянию на сегодняшний день большая часть сервисов уже работает в штатном режиме. Последними должны вернуться в строй ОФД и оставшиеся компоненты экосистемы.

Отдельно компания заявила, что взаимодействует с контролирующими органами, чтобы последствия инцидента не отразились на клиентах. Для пользователей также подготовлены официальные письма, подтверждающие, что проблемы возникли на стороне инфраструктуры оператора.

Таким образом, спустя неделю после начала сбоев «Астрал» фактически подтвердил то, о чём многие пользователи и так догадывались: причиной проблем стала не техническая ошибка и не авария, а полноценная кибератака на инфраструктуру компании.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!