EvilExtractor ļaunprātīga programmatūra

Saskaņā ar kiberdrošības ziņojumiem pēdējā laikā ir pieaudzis uzbrukumu skaits, izmantojot datu zādzības rīku, kas pazīstams kā EvilExtractor vai Evil Extractor. Šis rīks ir paredzēts sensitīvu lietotāju datu zagšanai, un to izmanto gan Eiropā, gan ASV. EvilExtractor rīku pārdod uzņēmums Kodex par USD 59 mēnesī. Rīkam ir septiņi dažādi uzbrukuma moduļi, tostarp ransomware, akreditācijas datu iegūšana un Windows Defender apiešana. Lai gan Kodex tirgo EvilExtractor kā likumīgu rīku, pierādījumi liecina, ka tas galvenokārt tiek reklamēts kibernoziedzniekiem hakeru forumos.

Kibernoziedznieki izvieto EvilExtractor kā informācijas zagšanas ļaunprātīgu programmatūru savvaļā. Saskaņā ar kiberdrošības uzņēmuma publicēto ziņojumu kopš 2023. gada sākuma ir pieaudzis uzbrukumi, izmantojot programmu EvilExtractor. Apdraudējuma dalībnieki ir izveidojuši saistītu pikšķerēšanas kampaņu, lai inficētu mērķus.

EvilExtractor tiek piegādāts, izmantojot pikšķerēšanas e-pastus

EvilExtractor uzbrukumi sākas ar pikšķerēšanas e-pastu, kas ir paredzēts kā konta apstiprināšanas pieprasījums. E-pasta ziņojumā bija saspiests izpildāms pielikums, kas bija slēpts kā likumīgs PDF vai Dropbox fails. Tomēr, atverot pielikumu, tika palaista Python izpildāmā programma.

Šī programma izmanto PyInstaller failu, lai izpildītu .NET ielādētāju, kas, savukārt, aktivizē base64 kodētu PowerShell skriptu, lai palaistu izpildāmo failu EvilExtractor. Pēc palaišanas ļaunprogrammatūra pārbauda bojātās sistēmas saimniekdatora nosaukumu un laiku, lai noteiktu, vai tā tiek darbināta virtuālajā vidē vai analīzes smilšu kastē. Ja tas konstatē šādu vidi, ļaunprātīgas programmatūras draudi pārtrauc tā izpildi.

Šajos uzbrukumos izmantotajā EvilExtractor versijā kopumā ir iekļauti septiņi atšķirīgi moduļi. Katrs modulis ir atbildīgs par noteiktu funkciju, piemēram, datuma un laika pārbaudi, pretsmilšu kastes, anti-VM, pretskeneri, FTP servera iestatījumu, datu zādzību, datu augšupielādi, žurnālu dzēšanu un pat vienu ar izspiedējvīrusu iespējām.

Ļaunprātīga programmatūra EvilExtractor var izfiltrēt sensitīvus datus vai darboties kā Ransomware

Ļaunprātīgā programma EvilExtractor satur datu zagšanas moduli, kas lejupielādē trīs papildu Python komponentus ar nosaukumu “KK2023.zip”, “Confirm.zip” un “MnMs.zip”.

Pirmais komponents izvelk sīkfailus no populārām pārlūkprogrammām, piemēram, Google Chrome, Microsoft Edge, Opera un Firefox. Turklāt tas apkopo pārlūkošanas vēsturi un saglabātās paroles no plaša programmu kopuma.

Otrais komponents darbojas kā taustiņu bloķētājs, kas ieraksta upura tastatūras ievades un saglabā tos vietējā mapē, lai tos vēlāk izgūtu.

Trešais komponents ir tīmekļa kameras nosūcējs, kas var klusi aktivizēt tīmekļa kameru, uzņemt video vai attēlus un augšupielādēt tos uzbrucēja FTP serverī, ko nomā Kodex.

Ļaunprātīga programmatūra arī nozog dokumentu un multivides failus no upura darbvirsmas un lejupielādes mapēm, tver patvaļīgus ekrānuzņēmumus un izfiltrē visus savāktos datus saviem operatoriem.

Ļaunprātīgas programmatūras izspiedējprogrammatūras modulis ir ligzdots ielādētājā un, kad tas ir aktivizēts, no produkta vietnes lejupielādē papildu failu ar nosaukumu “zzyy.zip”. Tas ir failu bloķēšanas rīks, kas izmanto lietotni 7-Zip, lai izveidotu ar paroli aizsargātu arhīvu, kurā ir cietušā faili, efektīvi novēršot piekļuvi tiem bez paroles.