EvilExtractor-haittaohjelma

Kyberturvallisuusraporttien mukaan EvilExtractor- tai Evil Extractor-nimistä tietovarkaustyökaluja käyttävien hyökkäysten määrä on viime aikoina lisääntynyt. Tämä työkalu on suunniteltu varastamaan arkaluonteisia käyttäjätietoja, ja sitä käytetään sekä Euroopassa että Yhdysvalloissa. EvilExtractor-työkalua myy Kodex-niminen yritys hintaan 59 dollaria kuukaudessa. Työkalussa on seitsemän erilaista hyökkäysmoduulia, mukaan lukien kiristysohjelmat, tunnistetietojen purkaminen ja Windows Defenderin ohitus. Vaikka Kodex markkinoi EvilExtractoria laillisena työkaluna, todisteet viittaavat siihen, että sitä mainostetaan ensisijaisesti kyberrikollisille hakkerointifoorumeilla.

Kyberrikolliset käyttävät EvilExtractoria tietoa varastavana haittaohjelmana luonnossa. Kyberturvallisuusyrityksen julkaiseman raportin mukaan EvilExtractor-hyökkäykset ovat lisääntyneet vuoden 2023 alusta lähtien. Uhkatoimijat ovat perustaneet linkitetyn tietojenkalastelukampanjan tapana tartuttaa kohteita.

EvilExtractor toimitetaan phishing-sähköpostien kautta

EvilExtractor-hyökkäykset alkavat tietojenkalasteluviestillä, joka on suunniteltu näkymään tilin vahvistuspyynnönä. Sähköposti sisälsi pakatun suoritettavan liitteen, joka oli naamioitu lailliseksi PDF- tai Dropbox-tiedostoksi. Liitteen avaamisen yhteydessä käynnistettiin kuitenkin suoritettava Python-ohjelma.

Tämä ohjelma käyttää PyInstaller-tiedostoa .NET-lataimen suorittamiseen, joka puolestaan aktivoi base64-koodatun PowerShell-komentosarjan käynnistämään EvilExtractor-suoritettavan tiedoston. Käynnistyksen yhteydessä haittaohjelma tarkistaa rikotun järjestelmän isäntänimen ja ajan havaitakseen, ajetaanko sitä virtuaaliympäristössä tai analysointihiekkalaatikossa. Jos se havaitsee tällaisen ympäristön, haittaohjelmauhka lopettaa sen suorittamisen.

Näissä hyökkäyksissä käytetty EvilExtractor-versio sisältää yhteensä seitsemän erillistä moduulia. Jokainen moduuli vastaa tietystä toiminnosta, kuten päivämäärän ja kellonajan tarkistamisesta, hiekkalaatikon estämisestä, VM:n estämisestä, skannerista, FTP-palvelimen asetuksista, tietojen varastamisesta, tietojen lataamisesta, lokin tyhjentämisestä ja jopa ransomware-ominaisuuksista.

EvilExtractor-haittaohjelma voi suodattaa arkaluonteisia tietoja tai toimia kiristysohjelmina

EvilExtractor-haittaohjelma sisältää tietojen varastamisen moduulin, joka lataa kolme muuta Python-komponenttia nimeltä "KK2023.zip", "Confirm.zip" ja "MnMs.zip".

Ensimmäinen komponentti poimii evästeet suosituista selaimista, kuten Google Chrome, Microsoft Edge, Opera ja Firefox. Lisäksi se kerää selaushistoriaa ja tallennettuja salasanoja laajasta joukosta ohjelmia.

Toinen komponentti toimii näppäinloggerina, joka tallentaa uhrin näppäimistösyötteet ja tallentaa ne paikalliseen kansioon myöhemmin haettavaksi.

Kolmas komponentti on verkkokameran poisto, joka voi aktivoida verkkokameran äänettömästi, kaapata videota tai kuvia ja ladata ne hyökkääjän FTP-palvelimelle, jonka Kodex vuokraa.

Haittaohjelma varastaa myös dokumentteja ja mediatiedostoja uhrin työpöydältä ja latauskansioista, kaappaa mielivaltaisia kuvakaappauksia ja suodattaa kaikki kerätyt tiedot operaattoreilleen.

Haittaohjelman kiristysohjelmamoduuli on sisäkkäinen latauslaitteeseen ja aktivoituessaan lataa tuotteen verkkosivustolta lisätiedoston nimeltä "zzyy.zip". Se on tiedostojen lukitustyökalu, joka käyttää 7-Zip-sovellusta salasanasuojatun arkiston luomiseen, joka sisältää uhrin tiedostot, mikä estää tehokkaasti pääsyn niihin ilman salasanaa.