La herramienta de ataque conocida como Evil Extractor y desarrollada por una empresa llamada Kodex como una «herramienta educativa», ha sido utilizada por actores de amenazas para atacar máquinas basadas en Windows.

Las afirmaciones provienen de investigadores de seguridad de Fortinet y fueron descritas en un aviso publicado el jueves.

«[Observamos] este malware en una campaña de correo electrónico de phishing [disfrazado de solicitudes de confirmación de cuenta] el 30 de marzo, que rastreamos hasta las muestras incluidas en este blog. Normalmente se hace pasar por un archivo legítimo, como un PDF de Adobe o un archivo de Dropbox, pero una vez cargado, comienza a aprovechar las actividades maliciosas de PowerShell», escribió la empresa.

Evil Extractor opera a través de varios módulos que dependen de un servicio de Protocolo de Transferencia de Archivos (FTP).

Además, Evil Extractor contiene funciones de comprobación del entorno, así como de máquina virtual (VM) y VirusTotal, diseñadas para evitar su detección. El malware también tiene una función ransomware llamada «Kodex Ransomware».

Según el aviso, el desarrollador lanzó el malware en octubre de 2022 y siguió actualizándolo para aumentar su estabilidad y reforzar sus capacidades maliciosas.

«EvilExtractor está siendo utilizado como un completo ladrón de información con múltiples características maliciosas, incluyendo ransomware. Su script PowerShell puede eludir la detección en un cargador .NET o PyArmor», reza el escrito técnico. «Los usuarios deben ser conscientes de este nuevo ladrón de información y seguir siendo cautelosos con el correo sospechoso».

La publicación del aviso, que también incluía indicadores de compromiso para el malware, se produce semanas después de que los expertos en ciberseguridad de Open Text advirtieran contra un aumento sustancial de los sitios de phishing HTTPS.