תוכנה זדונית של EvilExtractor

על פי דיווחי אבטחת סייבר, לאחרונה חלה עלייה בהתקפות באמצעות כלי גניבת נתונים המכונה EvilExtractor או Evil Extractor. כלי זה נועד לגנוב נתוני משתמשים רגישים ונמצא בשימוש הן באירופה והן בארה"ב. הכלי EvilExtractor נמכר על ידי חברה בשם Kodex תמורת $59 לחודש. לכלי יש שבעה מודולי תקיפה שונים, כולל תוכנות כופר, חילוץ אישורים ועקיפת Windows Defender. בעוד שקודקס משווקת את EvilExtractor ככלי לגיטימי, ראיות מצביעות על כך שהוא מקודם בעיקר לפושעי סייבר בפורומי פריצה.

פושעי סייבר פורסים את EvilExtractor כתוכנה זדונית גונבת מידע בטבע. על פי דו"ח שפרסמה חברת אבטחת סייבר, התקפות באמצעות EvilExtractor עלו מאז תחילת 2023. שחקני האיומים הקימו קמפיין דיוג מקושר כדרך להדביק מטרות.

EvilExtractor נמסר באמצעות דוא"ל דיוג

התקפות EvilExtractor מתחילות באימייל דיוג שנועד להופיע כבקשת אישור חשבון. האימייל הכיל קובץ מצורף דחוס להפעלה, במסווה של קובץ PDF או Dropbox לגיטימי. עם זאת, עם פתיחת הקובץ המצורף, הושקה תוכנית הפעלה של Python.

תוכנית זו משתמשת בקובץ PyInstaller כדי להפעיל טוען .NET, אשר בתורו מפעיל סקריפט PowerShell מקודד base64 כדי להפעיל את קובץ ההפעלה EvilExtractor. עם ההשקה, התוכנה הזדונית בודקת את שם המארח והזמן של המערכת שנפרצה כדי לזהות אם היא מופעלת בסביבה וירטואלית או בארגז חול ניתוח. אם הוא מזהה סביבה כזו, איום התוכנה הזדונית מפסיק את ביצועו.

הגרסה של EvilExtractor המשמשת בהתקפות אלה כוללת סך של שבעה מודולים נפרדים. כל מודול אחראי על פונקציה ספציפית, כגון בדיקת תאריך ושעה, אנטי-ארגז חול, אנטי-VM, אנטי-סורק, הגדרת שרת FTP, גניבת נתונים, העלאת נתונים, ניקוי יומנים, ואפילו כזה עם יכולות כופר.

EvilExtractor Malware יכולה לסנן נתונים רגישים או לפעול כתוכנת כופר

התוכנה הזדונית EvilExtractor מכילה מודול גניבת נתונים המוריד שלושה רכיבי Python נוספים בשם 'KK2023.zip', 'Confirm.zip' ו-'MnMs.zip'.

הרכיב הראשון מחלץ קובצי Cookie מדפדפנים פופולריים כגון Google Chrome, Microsoft Edge, Opera ו-Firefox. בנוסף, הוא אוסף היסטוריית גלישה וסיסמאות שמורות ממערך נרחב של תוכניות.

הרכיב השני מתפקד כ-keylogger, מקליט את כניסות המקלדת של הקורבן ושומר אותן בתיקייה מקומית כדי לאחזר מאוחר יותר.

הרכיב השלישי הוא מחלץ מצלמת אינטרנט שיכול להפעיל בשקט את מצלמת האינטרנט, לצלם וידאו או תמונות ולהעלות אותם לשרת ה-FTP של התוקף, המושכר על ידי Kodex.

התוכנה הזדונית גם גונבת מסמכים וקבצי מדיה מתיקיות שולחן העבודה וההורדות של הקורבן, מצלמת צילומי מסך שרירותיים ומסננת את כל הנתונים שנאספו למפעיליו.

מודול תוכנת הכופר של התוכנה הזדונית מקונן בתוך הטוען, וכאשר הוא מופעל, מוריד קובץ נוסף בשם 'zzyy.zip' מאתר המוצר. זהו כלי לנעילת קבצים שמשתמש באפליקציית 7-Zip כדי ליצור ארכיון מוגן בסיסמה המכיל את קבצי הקורבן, ולמעשה מונע גישה אליהם ללא הסיסמה.