EvilExtractor, cos’è il nuovo malware che spaventa Europa e Stati Uniti

Su Internet non bisogna mai abbassare la guardia: lo dimostra la continua comparsa di nuovi malware capaci di mettere a rischio i dati e le informazioni sensibili degli utenti. Uno dei più recenti e insidiosi si chiama EvilExtractor e non era mai stato utilizzato in passato. La sua prima comparsa in Europa e negli Stati Uniti, infatti, risale alla fine del 2022. È venduto dalla società Kodex per 59 dollari al mese, contiene sette moduli di attacco ed è diffuso soprattutto tramite e-mail di phishing e allegati di vario genere (mai scaricare quelli provenienti da mittenti sconosciuti o sospetti!). In particolare bisogna fare attenzione a file PDF e link a Dropbox apparentemente innocui e legittimi, perché i malintenzionati li sfruttano per far abbassare la guardia agli utenti e mettere le mani sui loro dati.

Cosa succede se si apre un file infetto?

Quando si apre il file infetto, EvilExtractor diventa libero di agire. Per prima cosa il suo eseguibile effettua un controllo dell’ora del sistema e del nome dell’hostname, così da verificare se si tratta di un ambiente virtuale, sandbox o di un sistema nativo. Solo in quest’ultimo caso attiva il suo payload e porta avanti il furto di dati sensibili.

A questo punto entra in azione il modulo primario di EvilExtractor, che si occupa di estrarre i cookie dai web browser utilizzati, assieme alla cronologia di navigazione e alle password salvate. Il secondo modulo del malware è un keylogger, uno strumento capace di rilevare e registrare gli input dell’utente sulla tastiera, che vengono salvati in una cartella locale per essere estratti in un secondo momento e potenzialmente usati contro il proprietario del dispositivo. Il terzo modulo attiva la webcam, se presente, e acquisisce video e immagini, da caricare sul server FTP dell’attaccante (venduto a parte da Kodex). Gli altri moduli di EvilExtractor portano avanti il monitoraggio del dispositivo e recuperano altri documenti dal desktop e dalla cartella di download, acquisendo anche degli screenshot quando necessario.

EvilExtractor contiene anche un ransomware

Come se tutto ciò non bastasse, EvilExtractor contiene anche un ransomware, un programma che prende in ostaggio i file dell’utente fino a quando quest’ultimo non paga un riscatto. Il malware mette in atto questo “piano” abusando dell’applicazione 7-zip per creare un archivio protetto da una password nota solo ai criminali informatici. Kodex, inoltre, sta continuando a lavorare per rendere EvilExtractor un’arma sempre più micidiale nelle mani dei malintenzionati. Per proteggersi bisogna diventare estremamente cauti e diffidare di ogni email sospetta o proveniente da un mittente sconosciuto. Di fronte a certi malware, prevenire è senz’altro più facile che curare.