Perisian Hasad EvilExtractor

Menurut laporan keselamatan siber, terdapat peningkatan baru-baru ini dalam serangan menggunakan alat kecurian data yang dikenali sebagai EvilExtractor atau Evil Extractor. Alat ini direka untuk mencuri data pengguna yang sensitif dan sedang digunakan di Eropah dan AS Alat EvilExtractor dijual oleh syarikat bernama Kodex pada harga $59 sebulan. Alat ini mempunyai tujuh modul serangan berbeza, termasuk perisian tebusan, pengekstrakan kelayakan dan pintasan Windows Defender. Walaupun Kodex memasarkan EvilExtractor sebagai alat yang sah, bukti menunjukkan bahawa ia terutamanya dipromosikan kepada penjenayah siber di forum penggodaman.

Penjenayah siber menggunakan EvilExtractor sebagai perisian hasad yang mencuri maklumat di alam liar. Menurut laporan yang diterbitkan oleh syarikat keselamatan siber, serangan menggunakan EvilExtractor telah meningkat sejak awal tahun 2023. Aktor ancaman telah menubuhkan kempen pancingan data yang dipautkan sebagai cara untuk menjangkiti sasaran.

EvilExtractor Dihantar melalui E-mel Phishing

Serangan EvilExtractor bermula dengan e-mel pancingan data yang direka bentuk untuk muncul sebagai permintaan pengesahan akaun. E-mel itu mengandungi lampiran boleh laku yang dimampatkan, yang menyamar sebagai fail PDF atau Dropbox yang sah. Walau bagaimanapun, selepas membuka lampiran, program boleh laku Python telah dilancarkan.

Program ini menggunakan fail PyInstaller untuk melaksanakan pemuat .NET, yang seterusnya, mengaktifkan skrip PowerShell yang dikodkan base64 untuk melancarkan boleh laku EvilExtractor. Selepas pelancaran, perisian hasad menyemak nama hos dan masa sistem yang dilanggar untuk mengesan sama ada ia dijalankan dalam persekitaran maya atau kotak pasir analisis. Jika ia mengesan persekitaran sedemikian, ancaman perisian hasad akan menamatkan pelaksanaannya.

Versi EvilExtractor yang digunakan dalam serangan ini termasuk sejumlah tujuh modul berbeza. Setiap modul bertanggungjawab untuk fungsi tertentu, seperti semakan tarikh dan masa, anti-kotak pasir, anti-VM, anti-pengimbas, tetapan pelayan FTP, mencuri data, muat naik data, pembersihan log, dan juga satu dengan keupayaan perisian tebusan.

EvilExtractor Malware boleh Mengeluarkan Data Sensitif atau Bertindak sebagai Ransomware

Malware EvilExtractor mengandungi modul mencuri data yang memuat turun tiga komponen Python tambahan bernama 'KK2023.zip,' 'Confirm.zip' dan 'MnMs.zip.'

Komponen pertama mengekstrak kuki daripada pelayar popular seperti Google Chrome, Microsoft Edge, Opera dan Firefox. Selain itu, ia mengumpul sejarah penyemakan imbas dan kata laluan yang disimpan daripada set program yang luas.

Komponen kedua berfungsi sebagai keylogger, merakam input papan kekunci mangsa dan menyimpannya dalam folder tempatan untuk diambil kemudian.

Komponen ketiga ialah pengekstrak kamera web yang boleh mengaktifkan kamera web secara senyap, menangkap video atau imej, dan memuat naiknya ke pelayan FTP penyerang, yang disewa oleh Kodex.

Perisian hasad juga mencuri fail dokumen dan media daripada folder Desktop dan Muat Turun mangsa, menangkap tangkapan skrin sewenang-wenangnya dan mengeluarkan semua data yang dikumpul kepada pengendalinya.

Modul perisian tebusan perisian hasad bersarang dalam pemuat dan, apabila diaktifkan, memuat turun fail tambahan bernama 'zzyy.zip' daripada tapak web produk. Ia ialah alat mengunci fail yang menggunakan apl 7-Zip untuk mencipta arkib yang dilindungi kata laluan yang mengandungi fail mangsa, dengan berkesan menghalang akses kepada mereka tanpa kata laluan.