Programari maliciós EvilExtractor
Segons els informes de ciberseguretat, hi ha hagut un augment recent dels atacs amb una eina de robatori de dades coneguda com EvilExtractor o Evil Extractor. Aquesta eina està dissenyada per robar dades sensibles dels usuaris i s'utilitza tant a Europa com als EUA. L'eina EvilExtractor la ven una empresa anomenada Kodex per 59 dòlars al mes. L'eina té set mòduls d'atac diferents, incloent-hi el ransomware, l'extracció de credencials i l'omissió de Windows Defender. Tot i que Kodex comercialitza EvilExtractor com una eina legítima, les proves suggereixen que s'està promocionant principalment als ciberdelinqüents als fòrums de pirateria informàtica.
Els cibercriminals estan desplegant EvilExtractor com a programari maliciós que roba informació en estat salvatge. Segons un informe publicat per una empresa de ciberseguretat, els atacs amb EvilExtractor han augmentat des de principis del 2023. Els actors de l'amenaça han establert una campanya de pesca vinculada com a forma d'infectar objectius.
EvilExtractor es lliura mitjançant correus electrònics de pesca
Els atacs d'EvilExtractor comencen amb un correu electrònic de pesca que està dissenyat per aparèixer com a sol·licitud de confirmació del compte. El correu electrònic contenia un fitxer adjunt executable comprimit, disfressat com un fitxer PDF o Dropbox legítim. Tanmateix, en obrir el fitxer adjunt, es va llançar un programa executable de Python.
Aquest programa utilitza un fitxer PyInstaller per executar un carregador .NET, que, al seu torn, activa un script de PowerShell codificat en base64 per llançar l'executable EvilExtractor. Quan s'inicia, el programari maliciós comprova el nom d'amfitrió del sistema violat i l'hora per detectar si s'està executant en un entorn virtual o una caixa de proves d'anàlisi. Si detecta aquest entorn, l'amenaça de programari maliciós finalitza la seva execució.
La versió d'EvilExtractor utilitzada en aquests atacs inclou un total de set mòduls diferents. Cada mòdul és responsable d'una funció específica, com ara la comprovació de la data i l'hora, l'anti-sandbox, l'anti-VM, l'anti-escàner, la configuració del servidor FTP, el robatori de dades, la càrrega de dades, la neteja de registres i fins i tot un amb capacitats de ransomware.
El programari maliciós EvilExtractor pot exfiltrar dades sensibles o actuar com a programari ransom
El programari maliciós EvilExtractor conté un mòdul de robatori de dades que baixa tres components Python addicionals anomenats "KK2023.zip", "Confirm.zip" i "MnMs.zip".
El primer component extreu galetes de navegadors populars com Google Chrome, Microsoft Edge, Opera i Firefox. A més, recull l'historial de navegació i les contrasenyes desades d'un ampli conjunt de programes.
El segon component funciona com a keylogger, enregistrant les entrades del teclat de la víctima i desant-les en una carpeta local per recuperar-les més tard.
El tercer component és un extractor de càmera web que pot activar silenciosament la càmera web, capturar vídeo o imatges i pujar-les al servidor FTP de l'atacant, que Kodex lloga.
El programari maliciós també roba documents i fitxers multimèdia de les carpetes d'escriptori i descàrregues de la víctima, captura captures de pantalla arbitràries i filtra totes les dades recopilades als seus operadors.
El mòdul de ransomware del programari maliciós està imbricat dins del carregador i, quan s'activa, baixa un fitxer addicional anomenat "zzyy.zip" del lloc web del producte. Es tracta d'una eina de bloqueig de fitxers que utilitza l'aplicació 7-Zip per crear un arxiu protegit amb contrasenya que conté els fitxers de la víctima, evitant eficaçment l'accés a ells sense la contrasenya.
