EvilExtractor Malware

I følge cybersikkerhetsrapporter har det nylig vært en økning i angrep ved å bruke et datatyveriverktøy kjent som EvilExtractor eller Evil Extractor. Dette verktøyet er designet for å stjele sensitive brukerdata og brukes i både Europa og USA. EvilExtractor-verktøyet selges av et selskap ved navn Kodex for $59 per måned. Verktøyet har syv forskjellige angrepsmoduler, inkludert løsepengevare, utvinning av legitimasjon og Windows Defender-omgåelse. Mens Kodex markedsfører EvilExtractor som et legitimt verktøy, tyder bevis på at det først og fremst blir promotert til nettkriminelle på hackingfora.

Cyberkriminelle distribuerer EvilExtractor som en informasjonsstjelende skadevare i naturen. I følge en rapport publisert av et cybersikkerhetsselskap har angrep med EvilExtractor økt siden starten av 2023. Trusselaktørene har etablert en koblet phishing-kampanje som en måte å infisere mål.

EvilExtractor leveres via phishing-e-poster

EvilExtractor-angrepene begynner med en phishing-e-post som er utformet for å vises som en kontobekreftelsesforespørsel. E-posten inneholdt et komprimert kjørbart vedlegg, forkledd som en legitim PDF- eller Dropbox-fil. Men ved åpning av vedlegget ble et Python-kjørbart program lansert.

Dette programmet bruker en PyInstaller-fil til å kjøre en .NET-laster, som igjen aktiverer et base64-kodet PowerShell-skript for å starte den kjørbare EvilExtractor. Ved oppstart sjekker skadevaren det overtrådte systemets vertsnavn og tid for å oppdage om det kjøres i et virtuelt miljø eller analysesandbox. Hvis den oppdager et slikt miljø, avslutter skadevaretrusselen utførelsen.

Versjonen av EvilExtractor som brukes i disse angrepene inkluderer totalt syv forskjellige moduler. Hver modul er ansvarlig for en spesifikk funksjon, som for eksempel dato- og klokkeslettkontroll, anti-sandbox, anti-VM, anti-skanner, FTP-serverinnstilling, datatyveri, dataopplasting, loggtømning, og til og med en med løsepengeprogram.

EvilExtractor Malware kan eksfiltrere sensitive data eller fungere som løsepengeprogramvare

EvilExtractor-malwaren inneholder en modul for datatyveri som laster ned tre ekstra Python-komponenter kalt 'KK2023.zip,' 'Confirm.zip' og 'MnMs.zip.'

Den første komponenten trekker ut informasjonskapsler fra populære nettlesere som Google Chrome, Microsoft Edge, Opera og Firefox. I tillegg samler den nettleserhistorikk og lagrede passord fra et omfattende sett med programmer.

Den andre komponenten fungerer som en keylogger, registrerer offerets tastaturinndata og lagrer dem i en lokal mappe for å kunne hentes senere.

Den tredje komponenten er en webkamerauttrekker som stille kan aktivere webkameraet, ta video eller bilder og laste dem opp til angriperens FTP-server, som leies av Kodex.

Skadevaren stjeler også dokument- og mediefiler fra offerets skrivebord- og nedlastingsmapper, tar vilkårlige skjermbilder og eksfiltrerer alle innsamlede data til operatørene.

Den skadelige programvarens løsepengevaremodul er nestet i lasteren, og når den er aktivert, laster den ned en ekstra fil med navnet 'zzyy.zip' fra produktets nettside. Det er et fillåseverktøy som bruker 7-Zip-appen til å lage et passordbeskyttet arkiv som inneholder offerets filer, og effektivt forhindrer tilgang til dem uten passord.