بدافزار EvilExtractor
بر اساس گزارش های امنیت سایبری، اخیراً حملات با استفاده از ابزار سرقت داده معروف به EvilExtractor یا Evil Extractor افزایش یافته است. این ابزار برای سرقت اطلاعات حساس کاربران طراحی شده است و در اروپا و ایالات متحده مورد استفاده قرار می گیرد. ابزار EvilExtractor توسط شرکتی به نام Kodex با قیمت 59 دلار در ماه فروخته می شود. این ابزار دارای هفت ماژول حمله مختلف از جمله باج افزار، استخراج اعتبار و دور زدن ویندوز دیفندر است. در حالی که Kodex EvilExtractor را به عنوان یک ابزار قانونی به بازار عرضه میکند، شواهد نشان میدهد که این ابزار عمدتاً در انجمنهای هک برای مجرمان سایبری تبلیغ میشود.
مجرمان سایبری در حال استقرار EvilExtractor به عنوان یک بدافزار سرقت اطلاعات در طبیعت هستند. بر اساس گزارشی که توسط یک شرکت امنیت سایبری منتشر شده است، حملات با استفاده از EvilExtractor از ابتدای سال 2023 افزایش یافته است. بازیگران تهدید یک کمپین فیشینگ مرتبط را به عنوان راهی برای آلوده کردن اهداف ایجاد کرده اند.
EvilExtractor از طریق ایمیل های فیشینگ تحویل داده می شود
حملات EvilExtractor با یک ایمیل فیشینگ شروع می شود که به عنوان یک درخواست تایید حساب طراحی شده است. این ایمیل حاوی یک پیوست اجرایی فشرده بود که به عنوان یک فایل PDF قانونی یا Dropbox پنهان شده بود. با این حال، با باز کردن پیوست، یک برنامه اجرایی پایتون راه اندازی شد.
این برنامه از یک فایل PyInstaller برای اجرای یک لودر دات نت استفاده می کند که به نوبه خود یک اسکریپت PowerShell کدگذاری شده با base64 را برای راه اندازی فایل اجرایی EvilExtractor فعال می کند. بدافزار پس از راهاندازی، نام میزبان و زمان سیستم نقضشده را بررسی میکند تا تشخیص دهد که آیا در یک محیط مجازی اجرا میشود یا جعبه sandbox تجزیه و تحلیل. اگر چنین محیطی را شناسایی کند، تهدید بدافزار اجرای آن را خاتمه می دهد.
نسخه EvilExtractor مورد استفاده در این حملات در مجموع شامل هفت ماژول مجزا است. هر ماژول مسئول عملکرد خاصی مانند بررسی تاریخ و زمان، ضد سندباکس، ضد VM، ضد اسکنر، تنظیمات سرور FTP، سرقت داده، آپلود داده، پاکسازی گزارش و حتی یکی با قابلیت باج افزار است.
بدافزار EvilExtractor می تواند داده های حساس را استخراج کند یا به عنوان باج افزار عمل کند
بدافزار EvilExtractor حاوی یک ماژول سرقت اطلاعات است که سه جزء اضافی پایتون به نامهای «KK2023.zip»، «Confirm.zip» و «MnMs.zip» را دانلود میکند.
اولین مؤلفه کوکی ها را از مرورگرهای محبوب مانند Google Chrome، Microsoft Edge، Opera و Firefox استخراج می کند. علاوه بر این، تاریخچه مرور و رمزهای عبور ذخیره شده را از مجموعه گسترده ای از برنامه ها جمع آوری می کند.
جزء دوم به عنوان یک keylogger عمل می کند، ورودی های صفحه کلید قربانی را ضبط می کند و آنها را در یک پوشه محلی ذخیره می کند تا بعدا بازیابی شود.
جزء سوم یک استخراج کننده وب کم است که می تواند وب کم را بی سر و صدا فعال کند، ویدیو یا تصاویر بگیرد و آنها را در سرور FTP مهاجم که توسط کدکس اجاره شده است آپلود کند.
این بدافزار همچنین اسناد و فایلهای رسانهای را از پوشههای Desktop و Downloads قربانی میدزدد، اسکرینشاتهای دلخواه را میگیرد و تمام دادههای جمعآوریشده را به اپراتورهای خود منتقل میکند.
ماژول باج افزار بدافزار درون لودر تو در تو قرار دارد و پس از فعال شدن، یک فایل اضافی به نام "zzyy.zip" را از وب سایت محصول دانلود می کند. این یک ابزار قفل فایل است که از برنامه 7-Zip برای ایجاد یک آرشیو محافظت شده با رمز عبور حاوی فایل های قربانی استفاده می کند و به طور موثر از دسترسی بدون رمز عبور به آنها جلوگیری می کند.