Zlonamjerni softver EvilExtractor

Prema izvješćima o kibernetičkoj sigurnosti, nedavno je došlo do porasta napada pomoću alata za krađu podataka poznatog kao EvilExtractor ili Evil Extractor. Ovaj alat je dizajniran za krađu osjetljivih korisničkih podataka i koristi se iu Europi i u SAD-u. Alat EvilExtractor prodaje tvrtka Kodex za 59 USD mjesečno. Alat ima sedam različitih modula napada, uključujući ransomware, ekstrakciju vjerodajnica i Windows Defender zaobilaženje. Dok Kodex reklamira EvilExtractor kao legitiman alat, dokazi upućuju na to da se prvenstveno promovira kibernetičkim kriminalcima na hakerskim forumima.

Cyberkriminalci postavljaju EvilExtractor kao malware za krađu informacija u divljini. Prema izvješću koje je objavila tvrtka za kibernetičku sigurnost, napadi pomoću EvilExtractora porasli su od početka 2023. Akteri prijetnji uspostavili su povezanu phishing kampanju kao način da zaraze mete.

EvilExtractor se isporučuje putem phishing e-pošte

Napadi EvilExtractora počinju s phishing e-poštom koja je dizajnirana da se pojavi kao zahtjev za potvrdu računa. E-poruka je sadržavala komprimirani izvršni privitak, prerušen u legitimnu PDF ili Dropbox datoteku. Međutim, nakon otvaranja privitka, pokrenut je Python izvršni program.

Ovaj program koristi PyInstaller datoteku za izvršavanje .NET loadera, koji zauzvrat aktivira PowerShell skriptu kodiranu base64 za pokretanje izvršne datoteke EvilExtractor. Nakon pokretanja, zlonamjerni softver provjerava ime glavnog računala i vrijeme probijenog sustava kako bi otkrio pokreće li se u virtualnom okruženju ili analitičkom sandboxu. Ako otkrije takvo okruženje, prijetnja od zlonamjernog softvera prekida svoje izvršenje.

Verzija EvilExtractora korištena u ovim napadima uključuje ukupno sedam različitih modula. Svaki modul odgovoran je za određenu funkciju, kao što je provjera datuma i vremena, anti-sandbox, anti-VM, anti-scanner, postavke FTP poslužitelja, krađa podataka, učitavanje podataka, brisanje dnevnika, pa čak i onaj s mogućnostima ransomwarea.

Zlonamjerni softver EvilExtractor može eksfiltrirati osjetljive podatke ili djelovati kao ucjenjivački softver

Zlonamjerni softver EvilExtractor sadrži modul za krađu podataka koji preuzima tri dodatne komponente Pythona pod nazivom 'KK2023.zip,' 'Confirm.zip' i 'MnMs.zip'.

Prva komponenta izvlači kolačiće iz popularnih preglednika kao što su Google Chrome, Microsoft Edge, Opera i Firefox. Osim toga, prikuplja povijest pregledavanja i spremljene lozinke iz opsežnog skupa programa.

Druga komponenta funkcionira kao keylogger, snima žrtvine unose tipkovnicom i sprema ih u lokalnu mapu kako bi se kasnije dohvatila.

Treća komponenta je ekstraktor web kamere koji može tiho aktivirati web kameru, snimiti video ili slike i učitati ih na napadačev FTP poslužitelj, koji je iznajmio Kodex.

Zlonamjerni softver također krade dokumente i medijske datoteke iz žrtvine radne površine i mapa preuzimanja, snima proizvoljne snimke zaslona i eksfiltrira sve prikupljene podatke svojim operaterima.

Ransomware modul zlonamjernog softvera ugniježđen je unutar učitavača i, kada se aktivira, preuzima dodatnu datoteku pod nazivom 'zzyy.zip' s web stranice proizvoda. To je alat za zaključavanje datoteka koji koristi aplikaciju 7-Zip za stvaranje arhive zaštićene lozinkom koja sadrži datoteke žrtve, učinkovito sprječavajući pristup njima bez lozinke.