EvilExtractor البرامج الضارة

وفقًا لتقارير الأمن السيبراني ، حدثت زيادة مؤخرًا في الهجمات باستخدام أداة سرقة البيانات المعروفة باسم EvilExtractor أو Evil Extractor. تم تصميم هذه الأداة لسرقة بيانات المستخدم الحساسة ويتم استخدامها في كل من أوروبا والولايات المتحدة. تُباع أداة EvilExtractor بواسطة شركة تُدعى Kodex مقابل 59 دولارًا شهريًا. تحتوي الأداة على سبع وحدات هجوم مختلفة ، بما في ذلك برامج الفدية واستخراج بيانات الاعتماد وتجاوز Windows Defender. بينما تقوم Kodex بتسويق EvilExtractor كأداة شرعية ، تشير الدلائل إلى أنه يتم الترويج لها في المقام الأول لمجرمي الإنترنت في منتديات القرصنة.

ينشر مجرمو الإنترنت برنامج EvilExtractor كبرنامج ضار لسرقة المعلومات في البرية. وفقًا لتقرير نشرته إحدى شركات الأمن السيبراني ، فقد تصاعدت الهجمات باستخدام EvilExtractor منذ بداية عام 2023. وقد أنشأ ممثلو التهديد حملة تصيد احتيالي مرتبطة كطريقة لإصابة الأهداف.

يتم تسليم EvilExtractor عبر رسائل البريد الإلكتروني المخادعة

تبدأ هجمات EvilExtractor برسالة بريد إلكتروني تصيد مصممة لتظهر كطلب تأكيد حساب. احتوى البريد الإلكتروني على مرفق مضغوط قابل للتنفيذ ، متخفيًا كملف PDF أو Dropbox شرعي. ومع ذلك ، عند فتح المرفق ، تم إطلاق برنامج Python القابل للتنفيذ.

يستخدم هذا البرنامج ملف PyInstaller لتنفيذ محمل .NET ، والذي بدوره ينشط برنامج PowerShell بتشفير base64 لبدء تشغيل EvilExtractor القابل للتنفيذ. عند الإطلاق ، يتحقق البرنامج الضار من اسم مضيف النظام المخترق والوقت لاكتشاف ما إذا كان يتم تشغيله في بيئة افتراضية أو وضع حماية للتحليل. إذا اكتشف مثل هذه البيئة ، فإن تهديد البرامج الضارة ينهي تنفيذها.

يتضمن إصدار EvilExtractor المستخدم في هذه الهجمات ما مجموعه سبع وحدات متميزة. كل وحدة مسؤولة عن وظيفة محددة ، مثل التحقق من التاريخ والوقت ، ومكافحة وضع الحماية ، ومكافحة VM ، ومكافحة الماسح الضوئي ، وإعداد خادم FTP ، وسرقة البيانات ، وتحميل البيانات ، ومسح السجل ، وحتى واحدة مع إمكانات برامج الفدية.

يمكن للبرامج الضارة EvilExtractor اختراق البيانات الحساسة أو التصرف كبرنامج رانسوم وير

تحتوي البرامج الضارة EvilExtractor على وحدة لسرقة البيانات تقوم بتنزيل ثلاثة مكونات إضافية من Python تسمى "KK2023.zip" و "Confirm.zip" و "MnMs.zip".

يستخرج المكون الأول ملفات تعريف الارتباط من المتصفحات الشائعة مثل Google Chrome و Microsoft Edge و Opera و Firefox. بالإضافة إلى ذلك ، فهو يجمع محفوظات الاستعراض وكلمات المرور المحفوظة من مجموعة واسعة من البرامج.

يعمل المكون الثاني كمسجل لوحة مفاتيح ، حيث يقوم بتسجيل مدخلات لوحة مفاتيح الضحية وحفظها في مجلد محلي ليتم استردادها لاحقًا.

المكون الثالث هو مستخرج كاميرا ويب يمكنه تنشيط كاميرا الويب بصمت والتقاط الفيديو أو الصور وتحميلها إلى خادم FTP الخاص بالمهاجم ، والذي تستأجره Kodex.

تقوم البرامج الضارة أيضًا بسرقة ملفات المستندات والوسائط من مجلدات سطح المكتب والتنزيلات الخاصة بالضحية ، والتقاط لقطات شاشة عشوائية ، ونقل جميع البيانات التي تم جمعها إلى مشغليها.

يتم تضمين وحدة برامج الفدية الضارة الخاصة بالبرامج الضارة داخل أداة التحميل ، وعند تنشيطها ، يتم تنزيل ملف إضافي باسم "zzyy.zip" من موقع الويب الخاص بالمنتج. إنها أداة قفل الملفات التي تستخدم تطبيق 7-Zip لإنشاء أرشيف محمي بكلمة مرور يحتوي على ملفات الضحية ، مما يمنع بشكل فعال الوصول إليها بدون كلمة المرور.