Malware EvilExtractor

Podle zpráv o kybernetické bezpečnosti v poslední době došlo k nárůstu útoků pomocí nástroje pro krádeže dat známého jako EvilExtractor nebo Evil Extractor. Tento nástroj je navržen tak, aby odcizil citlivá uživatelská data a používá se v Evropě i v USA. Nástroj EvilExtractor prodává společnost Kodex za 59 USD měsíčně. Nástroj má sedm různých útočných modulů, včetně ransomwaru, extrakce pověření a obcházení programu Windows Defender. Zatímco Kodex prodává EvilExtractor jako legitimní nástroj, důkazy naznačují, že je primárně povýšen na kyberzločince na hackerských fórech.

Kyberzločinci nasazují EvilExtractor jako malware kradoucí informace ve volné přírodě. Podle zprávy zveřejněné společností zabývající se kybernetickou bezpečností útoky pomocí EvilExtractor od začátku roku 2023 prudce vzrostly. Aktéři hrozeb vytvořili propojenou phishingovou kampaň jako způsob, jak infikovat cíle.

EvilExtractor je doručován prostřednictvím phishingových e-mailů

Útoky EvilExtractor začínají phishingovým e-mailem, který se má objevit jako žádost o potvrzení účtu. E-mail obsahoval komprimovanou spustitelnou přílohu maskovanou jako legitimní soubor PDF nebo Dropbox. Po otevření přílohy se však spustil spustitelný program Pythonu.

Tento program používá soubor PyInstaller ke spuštění zavaděče .NET, který naopak aktivuje skript PowerShell kódovaný base64 ke spuštění spustitelného souboru EvilExtractor. Malware po spuštění zkontroluje název hostitele a čas narušeného systému, aby zjistil, zda je spuštěn ve virtuálním prostředí nebo v analytické karanténě. Pokud takové prostředí detekuje, malwarová hrozba ukončí své provádění.

Verze EvilExtractor použitá v těchto útocích obsahuje celkem sedm odlišných modulů. Každý modul je zodpovědný za specifickou funkci, jako je kontrola data a času, anti-sandbox, anti-VM, anti-scanner, nastavení FTP serveru, krádež dat, nahrávání dat, mazání protokolů a dokonce i funkce s ransomwarem.

Malware EvilExtractor může exfiltrovat citlivá data nebo fungovat jako ransomware

Malware EvilExtractor obsahuje modul pro krádeže dat, který stahuje tři další komponenty Pythonu s názvem „KK2023.zip“, „Confirm.zip“ a „MnMs.zip“.

První komponenta extrahuje soubory cookie z oblíbených prohlížečů, jako je Google Chrome, Microsoft Edge, Opera a Firefox. Kromě toho shromažďuje historii procházení a uložená hesla z rozsáhlé sady programů.

Druhá komponenta funguje jako keylogger, zaznamenává vstupy oběti z klávesnice a ukládá je do místní složky pro pozdější vyvolání.

Třetí komponentou je extraktor z webové kamery, který dokáže v tichosti aktivovat webovou kameru, zachytit video nebo obrázky a nahrát je na útočníkův FTP server, který si pronajímá Kodex.

Malware také krade dokumenty a mediální soubory ze složek Desktop a Downloads oběti, zachycuje libovolné snímky obrazovky a exfiltruje všechna shromážděná data svým operátorům.

Modul ransomwaru malwaru je vnořen do zavaděče a po aktivaci stáhne z webu produktu další soubor s názvem „zzyy.zip“. Jedná se o nástroj pro zamykání souborů, který používá aplikaci 7-Zip k vytvoření archivu chráněného heslem obsahujícího soubory oběti, čímž účinně brání přístupu k nim bez hesla.