Si vous le souhaitez, le logiciel malveillant EvilExtractor crypte également votre système Windows et transfère les données du navigateur et les fichiers locaux à l’attaquant.

Le malware nouvellement découvert EvilExtractor récupère une grande quantité d’informations et de fichiers des utilisateurs de Windows. Si nécessaire, les attaquants peuvent même utiliser un module ransomware et chiffrer les données de leurs victimes. Si un fichier PDF ou Dropbox douteux est sur le point d’apparaître dans votre boîte de réception, vous devez être prudent.

Les logiciels malveillants Windows arrivent dans votre boîte de réception sous forme de fichier PDF ou Dropbox

EvilExtractor est un « outil pédagogique», que les cybercriminels utilisent activement comme malware pour les systèmes Windows. Les attaquants utilisent parfois le logiciel comme voleur d’informations en extrayant des données des appareils finaux de leurs victimes via FTP. Un ransomware est également intégré.

Des acteurs malveillants font proliférer ce malware Windows dans le cadre d’une campagne de phishing. Il arrive au système cible respectif par e-mail sous la forme d’un fichier PDF ou Dropbox supposément inoffensif. Une fois que l’utilisateur l’a chargé, le logiciel utilise un script PowerShell pour voler les données du navigateur et d’autres informations et les transmettre à un serveur FTP.

Comme l’ont noté les chercheurs en sécurité de FortiGuard Labs, les activités malveillantes impliquant EvilExtractor ont considérablement augmenté en mars 2023. Jusqu’à présent, les attaquants ont principalement visé les utilisateurs de Windows en Europe et en Amérique.

Un chargeur .NET et un programme Python libèrent EvilExtractor

Selon un article de blog Fortinet, les attaquants ont utilisé un chargeur .NET et un programme Python pour infiltrer leur cible dans un échantillon du malware Windows analysé par les chercheurs. Dans ce dernier est venu l’outil d’obscurcissement »PYARMOR » pour utilisation. Il est donc difficile pour les acteurs de détecter et d’analyser leurs logiciels malveillants.

EvilExtractor lui-même est un script PowerShell composé de plusieurs modules, initialement sous forme codée en Base64. Avant que le malware ne commence son travail, il vérifie d’abord s’il se trouve dans une machine virtuelle ou sur un système d’analyse connu.

EvilExtractor exploite non seulement les données, mais les crypte également

Une fois la vérification de l’environnement réussie, le logiciel malveillant Windows télécharge trois autres composants à partir d’un serveur. L’un d’eux peut extraire des données de navigation telles que les cookies, les mots de passe et les historiques des navigateurs Web populaires. Les deux autres sont un enregistreur de frappe et un outil d’accès à la webcam.

De plus, EvilExtractor vole tous les fichiers du bureau de l’utilisateur et du dossier Téléchargements qui ont certaines extensions de fichiers. Et la création de captures d’écran fait également partie des fonctions du logiciel malveillant.

À travers le « Logiciel de rançon de code« un attaquant peut chiffrer les fichiers de ses victimes et y mettre un mot de passe. L’outil génère alors un message contenant une demande de rançon.

Si vous souhaitez vous protéger des logiciels malveillants Windows comme EvilExtractor, nous vous recommandons de lire nos 10 règles pour un comportement en ligne sûr.