EvilExtractor ਮਾਲਵੇਅਰ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਰਿਪੋਰਟਾਂ ਦੇ ਅਨੁਸਾਰ, ਈਵਿਲ ਐਕਸਟਰੈਕਟਰ ਜਾਂ ਈਵਿਲ ਐਕਸਟਰੈਕਟਰ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਡੇਟਾ ਚੋਰੀ ਦੇ ਸਾਧਨ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਹਮਲਿਆਂ ਵਿੱਚ ਹਾਲ ਹੀ ਵਿੱਚ ਵਾਧਾ ਹੋਇਆ ਹੈ। ਇਹ ਟੂਲ ਸੰਵੇਦਨਸ਼ੀਲ ਉਪਭੋਗਤਾ ਡੇਟਾ ਚੋਰੀ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਯੂਰਪ ਅਤੇ ਅਮਰੀਕਾ ਦੋਵਾਂ ਵਿੱਚ ਵਰਤਿਆ ਜਾ ਰਿਹਾ ਹੈ EvilExtractor ਟੂਲ ਕੋਡੈਕਸ ਨਾਮ ਦੀ ਇੱਕ ਕੰਪਨੀ ਦੁਆਰਾ $59 ਪ੍ਰਤੀ ਮਹੀਨਾ ਵਿੱਚ ਵੇਚਿਆ ਜਾਂਦਾ ਹੈ। ਟੂਲ ਵਿੱਚ ਸੱਤ ਵੱਖ-ਵੱਖ ਅਟੈਕ ਮੋਡੀਊਲ ਹਨ, ਜਿਸ ਵਿੱਚ ਰੈਨਸਮਵੇਅਰ, ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਐਕਸਟਰੈਕਸ਼ਨ ਅਤੇ ਵਿੰਡੋਜ਼ ਡਿਫੈਂਡਰ ਬਾਈਪਾਸ ਸ਼ਾਮਲ ਹਨ। ਜਦੋਂ ਕਿ ਕੋਡੈਕਸ EvilExtractor ਨੂੰ ਇੱਕ ਜਾਇਜ਼ ਸਾਧਨ ਵਜੋਂ ਮਾਰਕੀਟ ਕਰਦਾ ਹੈ, ਸਬੂਤ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਇਸਨੂੰ ਮੁੱਖ ਤੌਰ 'ਤੇ ਹੈਕਿੰਗ ਫੋਰਮਾਂ 'ਤੇ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਲਈ ਉਤਸ਼ਾਹਿਤ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ।
ਸਾਈਬਰ ਅਪਰਾਧੀ EvilExtractor ਨੂੰ ਜੰਗਲੀ ਵਿੱਚ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਵਾਲੇ ਮਾਲਵੇਅਰ ਵਜੋਂ ਤਾਇਨਾਤ ਕਰ ਰਹੇ ਹਨ। ਇੱਕ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਕੰਪਨੀ ਦੁਆਰਾ ਪ੍ਰਕਾਸ਼ਿਤ ਇੱਕ ਰਿਪੋਰਟ ਦੇ ਅਨੁਸਾਰ, EvilExtractor ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਹਮਲੇ 2023 ਦੀ ਸ਼ੁਰੂਆਤ ਤੋਂ ਵੱਧ ਗਏ ਹਨ। ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੇ ਟੀਚਿਆਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਦੇ ਤਰੀਕੇ ਵਜੋਂ ਇੱਕ ਲਿੰਕਡ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਦੀ ਸਥਾਪਨਾ ਕੀਤੀ ਹੈ।
EvilExtractor ਨੂੰ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਰਾਹੀਂ ਡਿਲੀਵਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ
EvilExtractor ਹਮਲੇ ਇੱਕ ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੇ ਹਨ ਜੋ ਇੱਕ ਖਾਤਾ ਪੁਸ਼ਟੀਕਰਨ ਬੇਨਤੀ ਦੇ ਰੂਪ ਵਿੱਚ ਦਿਖਾਈ ਦੇਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਈਮੇਲ ਵਿੱਚ ਇੱਕ ਸੰਕੁਚਿਤ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਅਟੈਚਮੈਂਟ ਸੀ, ਜੋ ਇੱਕ ਜਾਇਜ਼ PDF ਜਾਂ Dropbox ਫਾਈਲ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਸੀ। ਹਾਲਾਂਕਿ, ਅਟੈਚਮੈਂਟ ਖੋਲ੍ਹਣ 'ਤੇ, ਇੱਕ ਪਾਈਥਨ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਪ੍ਰੋਗਰਾਮ ਲਾਂਚ ਕੀਤਾ ਗਿਆ ਸੀ।
ਇਹ ਪ੍ਰੋਗਰਾਮ ਇੱਕ .NET ਲੋਡਰ ਨੂੰ ਚਲਾਉਣ ਲਈ ਇੱਕ PyInstaller ਫਾਈਲ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜੋ ਬਦਲੇ ਵਿੱਚ, EvilExtractor ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੂੰ ਲਾਂਚ ਕਰਨ ਲਈ ਇੱਕ ਬੇਸ64-ਏਨਕੋਡਡ PowerShell ਸਕ੍ਰਿਪਟ ਨੂੰ ਸਰਗਰਮ ਕਰਦਾ ਹੈ। ਲਾਂਚ ਕਰਨ 'ਤੇ, ਮਾਲਵੇਅਰ ਇਹ ਪਤਾ ਲਗਾਉਣ ਲਈ ਉਲੰਘਣਾ ਕੀਤੇ ਸਿਸਟਮ ਦੇ ਹੋਸਟਨਾਮ ਅਤੇ ਸਮੇਂ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਇਹ ਵਰਚੁਅਲ ਵਾਤਾਵਰਣ ਜਾਂ ਵਿਸ਼ਲੇਸ਼ਣ ਸੈਂਡਬੌਕਸ ਵਿੱਚ ਚਲਾਇਆ ਜਾ ਰਿਹਾ ਹੈ। ਜੇਕਰ ਇਹ ਅਜਿਹੇ ਮਾਹੌਲ ਦਾ ਪਤਾ ਲਗਾਉਂਦਾ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਦੀ ਧਮਕੀ ਇਸ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਖਤਮ ਕਰ ਦਿੰਦੀ ਹੈ।
ਇਹਨਾਂ ਹਮਲਿਆਂ ਵਿੱਚ ਵਰਤੇ ਗਏ EvilExtractor ਦੇ ਸੰਸਕਰਣ ਵਿੱਚ ਕੁੱਲ ਸੱਤ ਵੱਖਰੇ ਮਾਡਿਊਲ ਸ਼ਾਮਲ ਹਨ। ਹਰੇਕ ਮੋਡੀਊਲ ਇੱਕ ਖਾਸ ਫੰਕਸ਼ਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੁੰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਮਿਤੀ ਅਤੇ ਸਮਾਂ ਜਾਂਚ, ਐਂਟੀ-ਸੈਂਡਬਾਕਸ, ਐਂਟੀ-VM, ਐਂਟੀ-ਸਕੈਨਰ, FTP ਸਰਵਰ ਸੈਟਿੰਗ, ਡੇਟਾ ਚੋਰੀ, ਡੇਟਾ ਅਪਲੋਡ, ਲੌਗ ਕਲੀਅਰਿੰਗ, ਅਤੇ ਇੱਥੋਂ ਤੱਕ ਕਿ ਰੈਨਸਮਵੇਅਰ ਸਮਰੱਥਾਵਾਂ ਵਾਲਾ ਇੱਕ ਵੀ।
EvilExtractor ਮਾਲਵੇਅਰ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢ ਸਕਦਾ ਹੈ ਜਾਂ ਰੈਨਸਮਵੇਅਰ ਵਜੋਂ ਕੰਮ ਕਰ ਸਕਦਾ ਹੈ
EvilExtractor ਮਾਲਵੇਅਰ ਵਿੱਚ ਇੱਕ ਡੇਟਾ ਚੋਰੀ ਕਰਨ ਵਾਲਾ ਮੋਡੀਊਲ ਹੈ ਜੋ 'KK2023.zip,' 'Confirm.zip,' ਅਤੇ 'MnMs.zip' ਨਾਮਕ ਤਿੰਨ ਵਾਧੂ ਪਾਈਥਨ ਭਾਗਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ।
ਪਹਿਲਾ ਭਾਗ ਗੂਗਲ ਕਰੋਮ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਐਜ, ਓਪੇਰਾ, ਅਤੇ ਫਾਇਰਫਾਕਸ ਵਰਗੇ ਪ੍ਰਸਿੱਧ ਬ੍ਰਾਉਜ਼ਰਾਂ ਤੋਂ ਕੂਕੀਜ਼ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਬ੍ਰਾਊਜ਼ਿੰਗ ਇਤਿਹਾਸ ਨੂੰ ਇਕੱਠਾ ਕਰਦਾ ਹੈ ਅਤੇ ਪ੍ਰੋਗਰਾਮਾਂ ਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਸਮੂਹ ਤੋਂ ਪਾਸਵਰਡ ਸੁਰੱਖਿਅਤ ਕਰਦਾ ਹੈ।
ਦੂਜਾ ਕੰਪੋਨੈਂਟ ਇੱਕ ਕੀਲੌਗਰ ਦੇ ਤੌਰ ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ, ਪੀੜਤ ਦੇ ਕੀਬੋਰਡ ਇਨਪੁਟਸ ਨੂੰ ਰਿਕਾਰਡ ਕਰਦਾ ਹੈ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਬਾਅਦ ਵਿੱਚ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਸਥਾਨਕ ਫੋਲਡਰ ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਕਰਦਾ ਹੈ।
ਤੀਜਾ ਹਿੱਸਾ ਇੱਕ ਵੈਬਕੈਮ ਐਕਸਟਰੈਕਟਰ ਹੈ ਜੋ ਚੁੱਪਚਾਪ ਵੈਬਕੈਮ ਨੂੰ ਸਰਗਰਮ ਕਰ ਸਕਦਾ ਹੈ, ਵੀਡੀਓ ਜਾਂ ਚਿੱਤਰਾਂ ਨੂੰ ਕੈਪਚਰ ਕਰ ਸਕਦਾ ਹੈ, ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਹਮਲਾਵਰ ਦੇ FTP ਸਰਵਰ 'ਤੇ ਅੱਪਲੋਡ ਕਰ ਸਕਦਾ ਹੈ, ਜੋ ਕੋਡੈਕਸ ਦੁਆਰਾ ਕਿਰਾਏ 'ਤੇ ਲਿਆ ਗਿਆ ਹੈ।
ਮਾਲਵੇਅਰ ਪੀੜਤ ਦੇ ਡੈਸਕਟੌਪ ਅਤੇ ਡਾਉਨਲੋਡ ਫੋਲਡਰਾਂ ਤੋਂ ਦਸਤਾਵੇਜ਼ ਅਤੇ ਮੀਡੀਆ ਫਾਈਲਾਂ ਨੂੰ ਵੀ ਚੋਰੀ ਕਰਦਾ ਹੈ, ਮਨਮਾਨੇ ਸਕ੍ਰੀਨਸ਼ਾਟ ਕੈਪਚਰ ਕਰਦਾ ਹੈ, ਅਤੇ ਇਕੱਠੇ ਕੀਤੇ ਗਏ ਸਾਰੇ ਡੇਟਾ ਨੂੰ ਇਸਦੇ ਓਪਰੇਟਰਾਂ ਨੂੰ ਬਾਹਰ ਕੱਢਦਾ ਹੈ।
ਮਾਲਵੇਅਰ ਦਾ ਰੈਨਸਮਵੇਅਰ ਮੋਡੀਊਲ ਲੋਡਰ ਦੇ ਅੰਦਰ ਨੈਸਟਡ ਹੁੰਦਾ ਹੈ ਅਤੇ, ਜਦੋਂ ਐਕਟੀਵੇਟ ਹੁੰਦਾ ਹੈ, ਤਾਂ ਉਤਪਾਦ ਦੀ ਵੈੱਬਸਾਈਟ ਤੋਂ 'zzyy.zip' ਨਾਮ ਦੀ ਇੱਕ ਵਾਧੂ ਫਾਈਲ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ। ਇਹ ਇੱਕ ਫਾਈਲ-ਲਾਕਿੰਗ ਟੂਲ ਹੈ ਜੋ ਪੀੜਤ ਦੀਆਂ ਫਾਈਲਾਂ ਵਾਲੇ ਪਾਸਵਰਡ-ਸੁਰੱਖਿਅਤ ਪੁਰਾਲੇਖ ਬਣਾਉਣ ਲਈ 7-ਜ਼ਿਪ ਐਪ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਬਿਨਾਂ ਪਾਸਵਰਡ ਦੇ ਉਹਨਾਂ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਰੋਕਦਾ ਹੈ।
