Los expertos han detectado un nuevo y peligroso malware (se abre en una pestaña nueva) Esfuerzo haciendo rondas en Internet, robando datos confidenciales de la víctima y, en algunos casos, incluso implementando ransomware también.
El malware, denominado Evil Extractor, fue descubierto por investigadores de seguridad cibernética de Fortinet, quienes publicaron sus hallazgos en una publicación de blog. (se abre en una pestaña nueva)señalando que fue desarrollado y distribuido por una empresa llamada Kodex, y se anuncia como una «herramienta educativa».
“FortiGuard Labs observó este malware en una campaña de correo electrónico de phishing el 30 de marzo, que rastreamos hasta las muestras incluidas en este blog”, dijeron los investigadores. “Por lo general, finge ser un archivo legítimo, como un archivo Adobe PDF o Dropbox, pero una vez cargado, comienza a aprovechar las actividades maliciosas de PowerShell”.
Evitar la detección
Estas actividades maliciosas incluyen una herramienta de análisis del entorno y un ladrón de información. De esa manera, el malware primero se aseguraría de que no se está implementando en un honeypot, antes de obtener la mayor cantidad de información confidencial posible del punto final y enviarla al servidor FTP del actor de amenazas. También tiene capacidades de ransomware.
Llamado Kodex Ransomware, la herramienta descarga zzyy.zip de evilextractor[.]com, que lleva 7za.exe, un ejecutable que encripta archivos con el parámetro «-p», lo que significa que los archivos se comprimen con una contraseña.
Como de costumbre, el malware luego deja una nota de rescate, exigiendo $ 1,000 en Bitcoin, a cambio de la clave de descifrado. “De lo contrario, no podrá acceder a sus archivos para siempre”, dice el mensaje.
El malware se dirige principalmente a víctimas en Occidente, se dijo. “Recientemente revisamos una versión del malware que se inyectó en el sistema de una víctima y, como parte de ese análisis, identificamos que la mayoría de sus víctimas se encuentran en Europa y América”, afirma Fortinet.
No sabemos si los operadores lograron implementar con éxito el ransomware en cualquier lugar, o cuántas víctimas podrían haber tenido hasta hoy.
Vía: Revista Infoseguridad (se abre en una pestaña nueva)