بدافزار EvilExtractor

بر اساس گزارش های امنیت سایبری، اخیراً حملات با استفاده از ابزار سرقت داده معروف به EvilExtractor یا Evil Extractor افزایش یافته است. این ابزار برای سرقت اطلاعات حساس کاربران طراحی شده است و در اروپا و ایالات متحده مورد استفاده قرار می گیرد. ابزار EvilExtractor توسط شرکتی به نام Kodex با قیمت 59 دلار در ماه فروخته می شود. این ابزار دارای هفت ماژول حمله مختلف از جمله باج افزار، استخراج اعتبار و دور زدن ویندوز دیفندر است. در حالی که Kodex EvilExtractor را به عنوان یک ابزار قانونی به بازار عرضه می‌کند، شواهد نشان می‌دهد که این ابزار عمدتاً در انجمن‌های هک برای مجرمان سایبری تبلیغ می‌شود.

مجرمان سایبری در حال استقرار EvilExtractor به عنوان یک بدافزار سرقت اطلاعات در طبیعت هستند. بر اساس گزارشی که توسط یک شرکت امنیت سایبری منتشر شده است، حملات با استفاده از EvilExtractor از ابتدای سال 2023 افزایش یافته است. بازیگران تهدید یک کمپین فیشینگ مرتبط را به عنوان راهی برای آلوده کردن اهداف ایجاد کرده اند.

EvilExtractor از طریق ایمیل های فیشینگ تحویل داده می شود

حملات EvilExtractor با یک ایمیل فیشینگ شروع می شود که به عنوان یک درخواست تایید حساب طراحی شده است. این ایمیل حاوی یک پیوست اجرایی فشرده بود که به عنوان یک فایل PDF قانونی یا Dropbox پنهان شده بود. با این حال، با باز کردن پیوست، یک برنامه اجرایی پایتون راه اندازی شد.

این برنامه از یک فایل PyInstaller برای اجرای یک لودر دات نت استفاده می کند که به نوبه خود یک اسکریپت PowerShell کدگذاری شده با base64 را برای راه اندازی فایل اجرایی EvilExtractor فعال می کند. بدافزار پس از راه‌اندازی، نام میزبان و زمان سیستم نقض‌شده را بررسی می‌کند تا تشخیص دهد که آیا در یک محیط مجازی اجرا می‌شود یا جعبه sandbox تجزیه و تحلیل. اگر چنین محیطی را شناسایی کند، تهدید بدافزار اجرای آن را خاتمه می دهد.

نسخه EvilExtractor مورد استفاده در این حملات در مجموع شامل هفت ماژول مجزا است. هر ماژول مسئول عملکرد خاصی مانند بررسی تاریخ و زمان، ضد سندباکس، ضد VM، ضد اسکنر، تنظیمات سرور FTP، سرقت داده، آپلود داده، پاکسازی گزارش و حتی یکی با قابلیت باج افزار است.

بدافزار EvilExtractor می تواند داده های حساس را استخراج کند یا به عنوان باج افزار عمل کند

بدافزار EvilExtractor حاوی یک ماژول سرقت اطلاعات است که سه جزء اضافی پایتون به نام‌های «KK2023.zip»، «Confirm.zip» و «MnMs.zip» را دانلود می‌کند.

اولین مؤلفه کوکی ها را از مرورگرهای محبوب مانند Google Chrome، Microsoft Edge، Opera و Firefox استخراج می کند. علاوه بر این، تاریخچه مرور و رمزهای عبور ذخیره شده را از مجموعه گسترده ای از برنامه ها جمع آوری می کند.

جزء دوم به عنوان یک keylogger عمل می کند، ورودی های صفحه کلید قربانی را ضبط می کند و آنها را در یک پوشه محلی ذخیره می کند تا بعدا بازیابی شود.

جزء سوم یک استخراج کننده وب کم است که می تواند وب کم را بی سر و صدا فعال کند، ویدیو یا تصاویر بگیرد و آنها را در سرور FTP مهاجم که توسط کدکس اجاره شده است آپلود کند.

این بدافزار همچنین اسناد و فایل‌های رسانه‌ای را از پوشه‌های Desktop و Downloads قربانی می‌دزدد، اسکرین‌شات‌های دلخواه را می‌گیرد و تمام داده‌های جمع‌آوری‌شده را به اپراتورهای خود منتقل می‌کند.

ماژول باج افزار بدافزار درون لودر تو در تو قرار دارد و پس از فعال شدن، یک فایل اضافی به نام "zzyy.zip" را از وب سایت محصول دانلود می کند. این یک ابزار قفل فایل است که از برنامه 7-Zip برای ایجاد یک آرشیو محافظت شده با رمز عبور حاوی فایل های قربانی استفاده می کند و به طور موثر از دسترسی بدون رمز عبور به آنها جلوگیری می کند.