EvilExtractor pahavara

Küberjulgeoleku aruannete kohaselt on viimasel ajal sagenenud rünnete arv, mis kasutavad andmevarguse tööriista, mida tuntakse kui EvilExtractor või Evil Extractor. See tööriist on loodud tundlike kasutajaandmete varastamiseks ja seda kasutatakse nii Euroopas kui ka USA-s. EvilExtractori tööriista müüb ettevõte nimega Kodex hinnaga 59 dollarit kuus. Tööriistal on seitse erinevat ründemoodulit, sealhulgas lunavara, mandaadi eraldamine ja Windows Defenderi möödaminek. Kuigi Kodex turustab EvilExtractorit kui legitiimset tööriista, näitavad tõendid, et seda reklaamitakse peamiselt küberkurjategijatele häkkimisfoorumitel.

Küberkurjategijad kasutavad EvilExtractorit looduses teavet varastava pahavarana. Küberjulgeolekuettevõtte avaldatud aruande kohaselt on EvilExtractorit kasutanud rünnakud kasvanud alates 2023. aasta algusest. Ohutegurid on sihtmärkide nakatamiseks loonud seotud andmepüügikampaania.

EvilExtractor tarnitakse andmepüügimeilide kaudu

EvilExtractori rünnakud algavad andmepüügimeiliga, mis on loodud kuvama konto kinnitustaotlusena. E-kiri sisaldas tihendatud käivitatavat manust, mis oli maskeeritud seadusliku PDF- või Dropbox-failina. Manuse avamisel aga käivitati Pythoni käivitatav programm.

See programm kasutab PyInstaller-faili .NET-laaduri käivitamiseks, mis omakorda aktiveerib base64-kodeeringuga PowerShelli skripti, et käivitada käivitatav EvilExtractor. Käivitamisel kontrollib pahavara rikutud süsteemi hostinime ja aega, et tuvastada, kas seda käitatakse virtuaalses keskkonnas või analüüsi liivakastis. Kui see tuvastab sellise keskkonna, lõpetab pahavaraoht selle täitmise.

Nendes rünnakutes kasutatud EvilExtractori versioon sisaldab kokku seitset erinevat moodulit. Iga moodul vastutab teatud funktsioonide eest, nagu kuupäeva ja kellaaja kontrollimine, liivakasti tõrje, VM-i tõrje, skanneritõrje, FTP-serveri seadistus, andmete varastamine, andmete üleslaadimine, logi tühjendamine ja isegi lunavarafunktsioonidega moodul.

EvilExtractori pahavara võib tundlikke andmeid välja filtreerida või toimida lunavarana

Pahavara EvilExtractor sisaldab andmete varastamise moodulit, mis laadib alla kolm täiendavat Pythoni komponenti nimedega "KK2023.zip", "Confirm.zip" ja "MnMs.zip".

Esimene komponent eraldab küpsised populaarsetest brauseritest, nagu Google Chrome, Microsoft Edge, Opera ja Firefox. Lisaks kogub see sirvimisajalugu ja salvestatud paroole paljudest programmidest.

Teine komponent toimib klahvilogijana, salvestades ohvri klaviatuurisisendid ja salvestades need kohalikku kausta, et hiljem alla laadida.

Kolmas komponent on veebikaamera ekstraktor, mis suudab vaikselt veebikaamera aktiveerida, jäädvustada videot või pilte ning laadida need üles ründaja FTP-serverisse, mida rendib Kodex.

Pahavara varastab ka dokumendi- ja meediumifaile ohvri töölaualt ja allalaadimiste kaustadest, jäädvustab suvalisi ekraanipilte ja eksfiltreerib kõik kogutud andmed oma operaatoritele.

Pahavara lunavaramoodul pesastub laadijasse ja kui see on aktiveeritud, laadib see toote veebisaidilt alla täiendava faili nimega zzyy.zip. See on failide lukustamise tööriist, mis kasutab 7-Zip rakendust, et luua parooliga kaitstud arhiiv, mis sisaldab ohvri faile, takistades tõhusalt juurdepääsu neile ilma paroolita.