EvilExtractor 멀웨어

사이버 보안 보고서에 따르면 최근 EvilExtractor 또는 Evil Extractor로 알려진 데이터 절도 도구를 사용한 공격이 증가했습니다. 이 도구는 민감한 사용자 데이터를 훔치도록 설계되었으며 유럽과 미국에서 모두 사용되고 있습니다. EvilExtractor 도구는 Kodex라는 회사에서 월 $59에 판매합니다. 이 도구에는 랜섬웨어, 자격 증명 추출 및 Windows Defender 우회를 포함한 7가지 공격 모듈이 있습니다. Kodex는 EvilExtractor를 합법적인 도구로 마케팅하지만 주로 해킹 포럼에서 사이버 범죄자에게 홍보되고 있다는 증거가 있습니다.

사이버 범죄자들은 EvilExtractor를 정보를 훔치는 멀웨어로 배포하고 있습니다. 사이버 보안 회사에서 발표한 보고서에 따르면 EvilExtractor를 사용한 공격은 2023년 초부터 급증했습니다. 위협 행위자는 대상을 감염시키는 방법으로 연결된 피싱 캠페인을 구축했습니다.

EvilExtractor는 피싱 이메일을 통해 전달됩니다.

EvilExtractor 공격은 계정 확인 요청으로 나타나도록 설계된 피싱 이메일로 시작됩니다. 이메일에는 합법적인 PDF 또는 Dropbox 파일로 위장한 실행 가능한 압축 첨부 파일이 포함되어 있습니다. 그러나 첨부 파일을 열면 Python 실행 프로그램이 실행되었습니다.

이 프로그램은 PyInstaller 파일을 사용하여 .NET 로더를 실행하고, 차례로 base64로 인코딩된 PowerShell 스크립트를 활성화하여 EvilExtractor 실행 파일을 시작합니다. 실행 시 악성코드는 침해된 시스템의 호스트 이름과 시간을 확인하여 가상 환경 또는 분석 샌드박스에서 실행되고 있는지 감지합니다. 이러한 환경을 감지하면 맬웨어 위협이 실행을 종료합니다.

이러한 공격에 사용된 EvilExtractor 버전에는 총 7개의 개별 모듈이 포함되어 있습니다. 각 모듈은 날짜 및 시간 확인, 샌드박스 방지, VM 방지, 스캐너 방지, FTP 서버 설정, 데이터 도용, 데이터 업로드, 로그 삭제, 심지어 랜섬웨어 기능과 같은 특정 기능을 담당합니다.

EvilExtractor 멀웨어는 민감한 데이터를 유출하거나 랜섬웨어로 활동할 수 있습니다.

EvilExtractor 악성코드에는 'KK2023.zip', 'Confirm.zip' 및 'MnMs.zip'이라는 세 가지 추가 Python 구성 요소를 다운로드하는 데이터 탈취 모듈이 포함되어 있습니다.

첫 번째 구성 요소는 Google Chrome, Microsoft Edge, Opera 및 Firefox와 같은 널리 사용되는 브라우저에서 쿠키를 추출합니다. 또한 광범위한 프로그램 세트에서 검색 기록과 저장된 비밀번호를 수집합니다.

두 번째 구성 요소는 키로거로 기능하여 피해자의 키보드 입력을 기록하고 나중에 검색할 수 있도록 로컬 폴더에 저장합니다.

세 번째 구성 요소는 웹캠을 자동으로 활성화하고 비디오 또는 이미지를 캡처하여 Kodex에서 임대한 공격자의 FTP 서버에 업로드할 수 있는 웹캠 추출기입니다.

이 악성코드는 또한 피해자의 데스크톱 및 다운로드 폴더에서 문서 및 미디어 파일을 훔치고, 임의의 스크린샷을 캡처하고, 수집된 모든 데이터를 운영자에게 유출합니다.

악성코드의 랜섬웨어 모듈은 로더 내에 중첩되어 있으며, 활성화 시 제품 웹사이트에서 'zzyy.zip'이라는 추가 파일을 다운로드합니다. 7-Zip 앱을 사용하여 피해자의 파일이 포함된 암호로 보호된 아카이브를 생성하여 암호 없이 파일에 대한 액세스를 효과적으로 방지하는 파일 잠금 도구입니다.