Malware EvilExtractor

Secondo i rapporti sulla sicurezza informatica, c'è stato un recente aumento degli attacchi che utilizzano uno strumento per il furto di dati noto come EvilExtractor o Evil Extractor. Questo strumento è progettato per rubare i dati sensibili degli utenti e viene utilizzato sia in Europa che negli Stati Uniti. Lo strumento EvilExtractor è venduto da una società chiamata Kodex per $ 59 al mese. Lo strumento ha sette diversi moduli di attacco, tra cui ransomware, estrazione delle credenziali e bypass di Windows Defender. Sebbene Kodex commercializzi EvilExtractor come uno strumento legittimo, le prove suggeriscono che viene principalmente promosso ai criminali informatici sui forum di hacking.

I criminali informatici stanno implementando EvilExtractor come un malware che ruba informazioni in natura. Secondo un rapporto pubblicato da una società di sicurezza informatica, gli attacchi che utilizzano EvilExtractor sono aumentati dall'inizio del 2023. Gli attori delle minacce hanno stabilito una campagna di phishing collegata come un modo per infettare gli obiettivi.

EvilExtractor viene fornito tramite e-mail di phishing

Gli attacchi di EvilExtractor iniziano con un'e-mail di phishing progettata per apparire come una richiesta di conferma dell'account. L'e-mail conteneva un allegato eseguibile compresso, camuffato da legittimo file PDF o Dropbox. Tuttavia, all'apertura dell'allegato, è stato avviato un programma eseguibile Python.

Questo programma utilizza un file PyInstaller per eseguire un caricatore .NET, che, a sua volta, attiva uno script PowerShell con codifica base64 per avviare l'eseguibile EvilExtractor. All'avvio, il malware controlla il nome host e l'ora del sistema violato per rilevare se viene eseguito in un ambiente virtuale o in una sandbox di analisi. Se rileva un tale ambiente, la minaccia malware termina la sua esecuzione.

La versione di EvilExtractor utilizzata in questi attacchi include un totale di sette moduli distinti. Ogni modulo è responsabile di una funzione specifica, come il controllo di data e ora, anti-sandbox, anti-VM, anti-scanner, impostazione del server FTP, furto di dati, caricamento di dati, cancellazione del registro e persino uno con funzionalità ransomware.

Il malware EvilExtractor può esfiltrare dati sensibili o agire come ransomware

Il malware EvilExtractor contiene un modulo di furto di dati che scarica tre componenti Python aggiuntivi denominati "KK2023.zip", "Confirm.zip" e "MnMs.zip".

Il primo componente estrae i cookie dai browser più diffusi come Google Chrome, Microsoft Edge, Opera e Firefox. Inoltre, raccoglie la cronologia di navigazione e le password salvate da un ampio set di programmi.

Il secondo componente funziona come un keylogger, registrando gli input da tastiera della vittima e salvandoli in una cartella locale per essere recuperati in seguito.

Il terzo componente è un estrattore di webcam che può attivare silenziosamente la webcam, acquisire video o immagini e caricarli sul server FTP dell'aggressore, noleggiato da Kodex.

Il malware ruba anche documenti e file multimediali dalle cartelle Desktop e Download della vittima, acquisisce schermate arbitrarie ed esfiltra tutti i dati raccolti ai suoi operatori.

Il modulo ransomware del malware è annidato all'interno del caricatore e, quando attivato, scarica un file aggiuntivo denominato "zzyy.zip" dal sito Web del prodotto. È uno strumento di blocco dei file che utilizza l'app 7-Zip per creare un archivio protetto da password contenente i file della vittima, impedendo efficacemente l'accesso ad essi senza la password.