ईविल एक्सट्रैक्टर मैलवेयर
साइबर सुरक्षा रिपोर्ट के अनुसार, एविलएक्सट्रैक्टर या ईविल एक्सट्रैक्टर के रूप में जाने जाने वाले डेटा चोरी टूल का उपयोग करके हमलों में हाल ही में वृद्धि हुई है। यह उपकरण संवेदनशील उपयोगकर्ता डेटा को चुराने के लिए डिज़ाइन किया गया है और इसका उपयोग यूरोप और यूएस दोनों में किया जा रहा है। एविलएक्सट्रैक्टर टूल को कोडेक्स नामक कंपनी द्वारा प्रति माह $ 59 में बेचा जाता है। टूल में रैनसमवेयर, क्रेडेंशियल एक्सट्रैक्शन और विंडोज डिफेंडर बायपासिंग सहित सात अलग-अलग अटैक मॉड्यूल हैं। जबकि कोडेक्स एक वैध उपकरण के रूप में एविलएक्सट्रैक्टर का विपणन करता है, सबूत बताते हैं कि इसे मुख्य रूप से हैकिंग मंचों पर साइबर अपराधियों को बढ़ावा दिया जा रहा है।
साइबर अपराधी जंगल में सूचना-चोरी करने वाले मैलवेयर के रूप में एविलएक्सट्रैक्टर को तैनात कर रहे हैं। एक साइबर सुरक्षा कंपनी द्वारा प्रकाशित एक रिपोर्ट के अनुसार, 2023 की शुरुआत के बाद से एविलएक्सट्रैक्टर का उपयोग करने वाले हमलों में वृद्धि हुई है। खतरे के अभिनेताओं ने लक्ष्यों को संक्रमित करने के तरीके के रूप में एक लिंक्ड फ़िशिंग अभियान स्थापित किया है।
ईविल एक्सट्रैक्टर फ़िशिंग ईमेल के माध्यम से डिलीवर किया जाता है
एविल एक्सट्रैक्टर हमले एक फ़िशिंग ईमेल से शुरू होते हैं जिसे खाता पुष्टिकरण अनुरोध के रूप में प्रदर्शित करने के लिए डिज़ाइन किया गया है। ईमेल में एक वैध पीडीएफ या ड्रॉपबॉक्स फ़ाइल के रूप में प्रच्छन्न एक संपीड़ित निष्पादन योग्य अनुलग्नक था। हालाँकि, अनुलग्नक खोलने पर, एक पायथन निष्पादन योग्य कार्यक्रम लॉन्च किया गया था।
यह प्रोग्राम एक .NET लोडर को निष्पादित करने के लिए एक PyInstaller फ़ाइल का उपयोग करता है, जो बदले में, एविलएक्सट्रैक्टर निष्पादन योग्य लॉन्च करने के लिए एक बेस 64-एन्कोडेड पावरशेल स्क्रिप्ट को सक्रिय करता है। लॉन्च होने पर, मैलवेयर उल्लंघन किए गए सिस्टम के होस्टनाम और समय की जांच करता है ताकि यह पता लगाया जा सके कि यह आभासी वातावरण या विश्लेषण सैंडबॉक्स में चलाया जा रहा है या नहीं। यदि यह ऐसे वातावरण का पता लगाता है, तो मैलवेयर का खतरा इसके निष्पादन को समाप्त कर देता है।
इन हमलों में प्रयुक्त एविलएक्सट्रैक्टर के संस्करण में कुल सात अलग-अलग मॉड्यूल शामिल हैं। प्रत्येक मॉड्यूल एक विशिष्ट कार्य के लिए जिम्मेदार होता है, जैसे दिनांक और समय की जाँच, एंटी-सैंडबॉक्स, एंटी-वीएम, एंटी-स्कैनर, एफ़टीपी सर्वर सेटिंग, डेटा चोरी, डेटा अपलोड, लॉग क्लियरिंग और यहां तक कि रैंसमवेयर क्षमताओं वाला एक भी।
एविल एक्सट्रैक्टर मैलवेयर संवेदनशील डेटा को एक्सफ़िल्ट्रेट कर सकता है या रैंसमवेयर के रूप में कार्य कर सकता है
एविल एक्सट्रैक्टर मालवेयर में एक डेटा-चोरी मॉड्यूल होता है जो 'KK2023.zip,' 'Confirm.zip,' और 'MnMs.zip' नामक तीन अतिरिक्त पायथन घटकों को डाउनलोड करता है।
पहला घटक Google क्रोम, माइक्रोसॉफ्ट एज, ओपेरा और फ़ायरफ़ॉक्स जैसे लोकप्रिय ब्राउज़रों से कुकीज़ निकालता है। इसके अतिरिक्त, यह ब्राउज़िंग इतिहास और कार्यक्रमों के व्यापक सेट से सहेजे गए पासवर्ड एकत्र करता है।
दूसरा घटक एक कीलॉगर के रूप में कार्य करता है, पीड़ित के कीबोर्ड इनपुट को रिकॉर्ड करता है और उन्हें बाद में पुनर्प्राप्त करने के लिए स्थानीय फ़ोल्डर में सहेजता है।
तीसरा घटक एक वेबकैम एक्सट्रैक्टर है जो चुपचाप वेबकैम को सक्रिय कर सकता है, वीडियो या छवियों को कैप्चर कर सकता है और उन्हें हमलावर के एफ़टीपी सर्वर पर अपलोड कर सकता है, जिसे कोडेक्स द्वारा किराए पर लिया जाता है।
मैलवेयर पीड़ित के डेस्कटॉप और डाउनलोड फ़ोल्डर से दस्तावेज़ और मीडिया फ़ाइलें भी चुराता है, मनमाना स्क्रीनशॉट कैप्चर करता है, और सभी एकत्रित डेटा को अपने ऑपरेटरों को एक्सफिल्टर कर देता है।
मैलवेयर का रैंसमवेयर मॉड्यूल लोडर के भीतर नेस्टेड है और सक्रिय होने पर, उत्पाद की वेबसाइट से 'zzyy.zip' नामक एक अतिरिक्त फ़ाइल डाउनलोड करता है। यह एक फ़ाइल-लॉकिंग टूल है जो 7-ज़िप ऐप का उपयोग पासवर्ड-सुरक्षित आर्काइव बनाने के लिए करता है जिसमें पीड़ित की फाइलें प्रभावी रूप से पासवर्ड के बिना उन तक पहुंच को रोकती हैं।
