Κακόβουλο λογισμικό EvilExtractor
Σύμφωνα με αναφορές κυβερνοασφάλειας, έχει σημειωθεί πρόσφατη αύξηση των επιθέσεων που χρησιμοποιούν ένα εργαλείο κλοπής δεδομένων γνωστό ως EvilExtractor ή Evil Extractor. Αυτό το εργαλείο έχει σχεδιαστεί για να κλέβει ευαίσθητα δεδομένα χρήστη και χρησιμοποιείται τόσο στην Ευρώπη όσο και στις ΗΠΑ. Το εργαλείο EvilExtractor πωλείται από μια εταιρεία που ονομάζεται Kodex για 59 $ το μήνα. Το εργαλείο διαθέτει επτά διαφορετικές ενότητες επίθεσης, συμπεριλαμβανομένων ransomware, εξαγωγής διαπιστευτηρίων και παράκαμψης του Windows Defender. Ενώ η Kodex εμπορεύεται το EvilExtractor ως νόμιμο εργαλείο, τα στοιχεία δείχνουν ότι προωθείται κυρίως σε εγκληματίες του κυβερνοχώρου σε φόρουμ hacking.
Οι εγκληματίες του κυβερνοχώρου αναπτύσσουν το EvilExtractor ως κακόβουλο λογισμικό που κλέβει πληροφορίες στη φύση. Σύμφωνα με μια έκθεση που δημοσιεύτηκε από μια εταιρεία κυβερνοασφάλειας, οι επιθέσεις με χρήση του EvilExtractor έχουν αυξηθεί από τις αρχές του 2023. Οι φορείς απειλών έχουν δημιουργήσει μια συνδεδεμένη εκστρατεία ηλεκτρονικού ψαρέματος ως τρόπο μόλυνσης στόχων.
Το EvilExtractor παραδίδεται μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος
Οι επιθέσεις EvilExtractor ξεκινούν με ένα email ηλεκτρονικού ψαρέματος που έχει σχεδιαστεί για να εμφανίζεται ως αίτημα επιβεβαίωσης λογαριασμού. Το email περιείχε ένα συμπιεσμένο εκτελέσιμο συνημμένο, μεταμφιεσμένο ως νόμιμο αρχείο PDF ή Dropbox. Ωστόσο, με το άνοιγμα του συνημμένου, ξεκίνησε ένα εκτελέσιμο πρόγραμμα Python.
Αυτό το πρόγραμμα χρησιμοποιεί ένα αρχείο PyInstaller για να εκτελέσει ένα πρόγραμμα φόρτωσης .NET, το οποίο, με τη σειρά του, ενεργοποιεί ένα σενάριο PowerShell με κωδικοποίηση base64 για την εκκίνηση του εκτελέσιμου αρχείου EvilExtractor. Κατά την εκκίνηση, το κακόβουλο λογισμικό ελέγχει το όνομα κεντρικού υπολογιστή και την ώρα του παραβιασμένου συστήματος για να εντοπίσει εάν εκτελείται σε εικονικό περιβάλλον ή σε sandbox ανάλυσης. Εάν εντοπίσει ένα τέτοιο περιβάλλον, η απειλή κακόβουλου λογισμικού τερματίζει την εκτέλεσή του.
Η έκδοση του EvilExtractor που χρησιμοποιείται σε αυτές τις επιθέσεις περιλαμβάνει συνολικά επτά ξεχωριστές ενότητες. Κάθε μονάδα είναι υπεύθυνη για μια συγκεκριμένη λειτουργία, όπως έλεγχο ημερομηνίας και ώρας, anti-sandbox, anti-VM, anti-scanner, ρύθμιση διακομιστή FTP, κλοπή δεδομένων, μεταφόρτωση δεδομένων, εκκαθάριση αρχείων καταγραφής, ακόμη και μία με δυνατότητες ransomware.
Το κακόβουλο λογισμικό EvilExtractor μπορεί να εκμεταλλεύεται ευαίσθητα δεδομένα ή να ενεργεί ως Ransomware
Το κακόβουλο λογισμικό EvilExtractor περιέχει μια λειτουργική μονάδα κλοπής δεδομένων που κατεβάζει τρία πρόσθετα στοιχεία Python που ονομάζονται "KK2023.zip", "Confirm.zip" και "MnMs.zip".
Το πρώτο στοιχείο εξάγει cookies από δημοφιλή προγράμματα περιήγησης όπως το Google Chrome, ο Microsoft Edge, ο Opera και ο Firefox. Επιπλέον, συλλέγει ιστορικό περιήγησης και αποθηκευμένους κωδικούς πρόσβασης από ένα εκτεταμένο σύνολο προγραμμάτων.
Το δεύτερο στοιχείο λειτουργεί ως καταγραφέας πληκτρολογίου, καταγράφοντας τις εισόδους του πληκτρολογίου του θύματος και αποθηκεύοντάς τις σε έναν τοπικό φάκελο για ανάκτηση αργότερα.
Το τρίτο εξάρτημα είναι ένας εξαγωγέας κάμερας web που μπορεί να ενεργοποιήσει αθόρυβα την κάμερα web, να τραβήξει βίντεο ή εικόνες και να τα ανεβάσει στον διακομιστή FTP του εισβολέα, τον οποίο νοικιάζει η Kodex.
Το κακόβουλο λογισμικό κλέβει επίσης αρχεία εγγράφων και πολυμέσων από τους φακέλους Desktop και Downloads του θύματος, συλλαμβάνει αυθαίρετα στιγμιότυπα οθόνης και διοχετεύει όλα τα συλλεγμένα δεδομένα στους χειριστές του.
Η μονάδα ransomware του κακόβουλου λογισμικού είναι ενσωματωμένη στη φόρτωση και, όταν ενεργοποιηθεί, πραγματοποιεί λήψη ενός πρόσθετου αρχείου με το όνομα «zzyy.zip» από τον ιστότοπο του προϊόντος. Είναι ένα εργαλείο κλειδώματος αρχείων που χρησιμοποιεί την εφαρμογή 7-Zip για να δημιουργήσει ένα αρχείο προστατευμένο με κωδικό πρόσβασης που περιέχει τα αρχεία του θύματος, αποτρέποντας ουσιαστικά την πρόσβαση σε αυτά χωρίς τον κωδικό πρόσβασης.
