EvilExtractor kenkėjiška programa

Remiantis kibernetinio saugumo ataskaitomis, pastaruoju metu padaugėjo atakų naudojant duomenų vagystės įrankį, žinomą kaip EvilExtractor arba Evil Extractor. Šis įrankis skirtas slaptiems vartotojo duomenims pavogti ir yra naudojamas tiek Europoje, tiek JAV. EvilExtractor įrankį parduoda įmonė, pavadinta Kodex, už 59 USD per mėnesį. Įrankis turi septynis skirtingus atakos modulius, įskaitant išpirkos reikalaujančią programinę įrangą, kredencialų ištraukimą ir „Windows Defender“ apėjimą. Nors Kodex parduoda EvilExtractor kaip teisėtą įrankį, įrodymai rodo, kad jis pirmiausia reklamuojamas kibernetiniams nusikaltėliams įsilaužimo forumuose.

Kibernetiniai nusikaltėliai gamtoje naudoja „EvilExtractor“ kaip informaciją vagiančią kenkėjišką programą. Remiantis kibernetinio saugumo įmonės paskelbta ataskaita, nuo 2023 m. pradžios padaugėjo atakų naudojant „EvilExtractor“. Grėsmės veikėjai sukūrė susietą sukčiavimo kampaniją, kaip būdą užkrėsti taikinius.

„EvilExtractor“ pristatomas sukčiavimo el. laiškais

„EvilExtractor“ atakos prasideda nuo sukčiavimo el. laiškų, kurie yra sukurti kaip paskyros patvirtinimo užklausa. El. laiške buvo suglaudintas vykdomasis priedas, užmaskuotas kaip teisėtas PDF arba „Dropbox“ failas. Tačiau atidarius priedą buvo paleista Python vykdomoji programa.

Ši programa naudoja PyInstaller failą, kad vykdytų .NET įkroviklį, kuris, savo ruožtu, suaktyvina base64 koduotą PowerShell scenarijų, kad paleistų EvilExtractor vykdomąjį failą. Paleidus kenkėjišką programą, ji patikrina pažeistos sistemos pagrindinio kompiuterio pavadinimą ir laiką, kad nustatytų, ar ji vykdoma virtualioje aplinkoje ar analizės smėlio dėžėje. Jei ji aptinka tokią aplinką, kenkėjiškos programos grėsmė nutraukia jos vykdymą.

Šiose atakose naudojamoje „EvilExtractor“ versijoje iš viso yra septyni skirtingi moduliai. Kiekvienas modulis yra atsakingas už konkrečias funkcijas, tokias kaip datos ir laiko tikrinimas, anti-smėlio dėžė, anti-VM, anti-scanner, FTP serverio nustatymas, duomenų vagystė, duomenų įkėlimas, žurnalo išvalymas ir net vienas su išpirkos reikalaujančiomis programomis.

„EvilExtractor“ kenkėjiška programa gali išfiltruoti jautrius duomenis arba veikti kaip „Ransomware“.

Kenkėjiškoje programoje „EvilExtractor“ yra duomenų vagystės modulis, kuris atsisiunčia tris papildomus „Python“ komponentus, pavadintus „KK2023.zip“, „Confirm.zip“ ir „MnMs.zip“.

Pirmasis komponentas ištraukia slapukus iš populiarių naršyklių, tokių kaip Google Chrome, Microsoft Edge, Opera ir Firefox. Be to, ji renka naršymo istoriją ir išsaugotus slaptažodžius iš daugybės programų.

Antrasis komponentas veikia kaip klavišų kaupiklis, įrašantis aukos klaviatūros įvestis ir išsaugantis jas vietiniame aplanke, kad vėliau būtų galima gauti.

Trečiasis komponentas yra internetinės kameros ištraukiklis, galintis tyliai suaktyvinti internetinę kamerą, užfiksuoti vaizdo įrašus ar vaizdus ir įkelti juos į užpuoliko FTP serverį, kurį nuomoja Kodex.

Kenkėjiška programa taip pat pavagia dokumentų ir medijos failus iš aukos darbalaukio ir atsisiuntimų aplankų, fiksuoja savavališkas ekrano kopijas ir visus surinktus duomenis išfiltruoja savo operatoriams.

Kenkėjiškos programos išpirkos reikalaujantis modulis yra įdėtas įkroviklyje ir, kai jis suaktyvinamas, iš produkto svetainės atsisiunčia papildomą failą pavadinimu „zzyy.zip“. Tai failų užrakinimo įrankis, kuris naudoja 7-Zip programėlę, kad sukurtų slaptažodžiu apsaugotą archyvą su aukos failais, veiksmingai užkertant kelią prieigai prie jų be slaptažodžio.