EvilExtractor Malware

Ifølge cybersikkerhedsrapporter har der været en nylig stigning i angreb ved hjælp af et datatyveriværktøj kendt som EvilExtractor eller Evil Extractor. Dette værktøj er designet til at stjæle følsomme brugerdata og bliver brugt i både Europa og USA. EvilExtractor-værktøjet sælges af et firma ved navn Kodex for $59 pr. måned. Værktøjet har syv forskellige angrebsmoduler, inklusive ransomware, udtræk af legitimationsoplysninger og Windows Defender-omgåelse. Mens Kodex markedsfører EvilExtractor som et legitimt værktøj, tyder beviser på, at det primært bliver promoveret til cyberkriminelle på hackingfora.

Cyberkriminelle implementerer EvilExtractor som en informationstjælende malware i naturen. Ifølge en rapport udgivet af et cybersikkerhedsfirma er angreb ved hjælp af EvilExtractor steget siden starten af 2023. Trusselsaktørerne har etableret en forbundet phishing-kampagne som en måde at inficere mål på.

EvilExtractor leveres via phishing-e-mails

EvilExtractor-angrebene begynder med en phishing-e-mail, der er designet til at blive vist som en anmodning om kontobekræftelse. E-mailen indeholdt en komprimeret eksekverbar vedhæftet fil, forklædt som en legitim PDF- eller Dropbox-fil. Men ved åbning af den vedhæftede fil, blev et Python eksekverbart program lanceret.

Dette program bruger en PyInstaller-fil til at udføre en .NET-indlæser, som igen aktiverer et base64-kodet PowerShell-script for at starte den eksekverbare EvilExtractor. Ved lancering kontrollerer malwaren det overtrådte systems værtsnavn og tid for at opdage, om det køres i et virtuelt miljø eller en analysesandbox. Hvis den opdager et sådant miljø, afslutter malware-truslen sin eksekvering.

Den version af EvilExtractor, der bruges i disse angreb, indeholder i alt syv forskellige moduler. Hvert modul er ansvarlig for en specifik funktion, såsom dato- og tidskontrol, anti-sandbox, anti-VM, anti-scanner, FTP-serverindstilling, datatyveri, dataupload, logrydning og endda en med ransomware-funktioner.

EvilExtractor Malware kan udskille følsomme data eller fungere som ransomware

EvilExtractor-malwaren indeholder et data-stjælende modul, der downloader tre yderligere Python-komponenter ved navn 'KK2023.zip,' 'Confirm.zip' og 'MnMs.zip.'

Den første komponent udtrækker cookies fra populære browsere som Google Chrome, Microsoft Edge, Opera og Firefox. Derudover indsamler den browserhistorik og gemte adgangskoder fra et omfattende sæt programmer.

Den anden komponent fungerer som en keylogger, der optager ofrets tastaturinput og gemmer dem i en lokal mappe, som kan hentes senere.

Den tredje komponent er en webcam-udtrækker, der lydløst kan aktivere webcam, optage video eller billeder og uploade dem til angriberens FTP-server, som er lejet af Kodex.

Malwaren stjæler også dokument- og mediefiler fra ofrets mapper Desktop og Downloads, fanger vilkårlige skærmbilleder og eksfiltrerer alle de indsamlede data til operatørerne.

Malwarens ransomware-modul er indlejret i loaderen og, når det er aktiveret, downloader det en ekstra fil med navnet 'zzyy.zip' fra produktets websted. Det er et fillåsningsværktøj, der bruger 7-Zip-appen til at oprette et adgangskodebeskyttet arkiv, der indeholder ofrets filer, hvilket effektivt forhindrer adgang til dem uden adgangskoden.