EvilExtractor-malware

Volgens cyberbeveiligingsrapporten is er een recente toename van aanvallen met behulp van een tool voor gegevensdiefstal die bekend staat als EvilExtractor of de Evil Extractor. Deze tool is ontworpen om gevoelige gebruikersgegevens te stelen en wordt gebruikt in zowel Europa als de VS. De EvilExtractor-tool wordt verkocht door een bedrijf genaamd Kodex voor $ 59 per maand. De tool heeft zeven verschillende aanvalsmodules, waaronder ransomware, het extraheren van inloggegevens en het omzeilen van Windows Defender. Hoewel Kodex EvilExtractor op de markt brengt als een legitieme tool, suggereert bewijs dat het voornamelijk wordt gepromoot bij cybercriminelen op hackforums.

Cybercriminelen zetten EvilExtractor in het wild in als informatiestelende malware. Volgens een rapport dat is gepubliceerd door een cyberbeveiligingsbedrijf, zijn aanvallen met EvilExtractor sinds begin 2023 enorm toegenomen. De aanvallers hebben een gekoppelde phishing-campagne opgezet als een manier om doelen te infecteren.

EvilExtractor wordt geleverd via phishing-e-mails

De EvilExtractor-aanvallen beginnen met een phishing-e-mail die is ontworpen om te verschijnen als een accountbevestigingsverzoek. De e-mail bevatte een gecomprimeerde uitvoerbare bijlage, vermomd als een legitiem pdf- of Dropbox-bestand. Bij het openen van de bijlage werd echter een uitvoerbaar Python-programma gestart.

Dit programma gebruikt een PyInstaller-bestand om een .NET-lader uit te voeren, die op zijn beurt een base64-gecodeerd PowerShell-script activeert om het uitvoerbare bestand EvilExtractor te starten. Bij het starten controleert de malware de hostnaam en tijd van het geschonden systeem om te detecteren of het in een virtuele omgeving of in een analysesandbox wordt uitgevoerd. Als het een dergelijke omgeving detecteert, beëindigt de malwaredreiging de uitvoering ervan.

De versie van EvilExtractor die bij deze aanvallen wordt gebruikt, bevat in totaal zeven verschillende modules. Elke module is verantwoordelijk voor een specifieke functie, zoals datum- en tijdcontrole, anti-sandbox, anti-VM, anti-scanner, FTP-server instellen, gegevens stelen, gegevens uploaden, logboeken wissen en zelfs een met ransomware-mogelijkheden.

EvilExtractor Malware kan gevoelige gegevens exfiltreren of fungeren als ransomware

De EvilExtractor-malware bevat een module voor het stelen van gegevens die drie extra Python-componenten downloadt, genaamd 'KK2023.zip', 'Confirm.zip' en 'MnMs.zip'.

Het eerste onderdeel haalt cookies uit populaire browsers zoals Google Chrome, Microsoft Edge, Opera en Firefox. Bovendien verzamelt het browsegeschiedenis en opgeslagen wachtwoorden van een uitgebreide reeks programma's.

Het tweede onderdeel werkt als een keylogger, registreert de toetsenbordinvoer van het slachtoffer en slaat deze op in een lokale map om later op te halen.

Het derde onderdeel is een webcam-extractor die de webcam geruisloos kan activeren, video of afbeeldingen kan vastleggen en deze kan uploaden naar de FTP-server van de aanvaller, die wordt gehuurd door Kodex.

De malware steelt ook document- en mediabestanden van de mappen Desktop en Downloads van het slachtoffer, maakt willekeurige schermafbeeldingen en exfiltreert alle verzamelde gegevens naar de operators.

De ransomware-module van de malware is genest in de lader en downloadt, wanneer geactiveerd, een extra bestand met de naam 'zzyy.zip' van de website van het product. Het is een tool voor het vergrendelen van bestanden die de 7-Zip-app gebruikt om een met een wachtwoord beveiligd archief aan te maken met de bestanden van het slachtoffer, waardoor toegang tot deze bestanden zonder het wachtwoord effectief wordt voorkomen.