Złośliwe oprogramowanie EvilExtractor

Według raportów dotyczących bezpieczeństwa cybernetycznego w ostatnim czasie nastąpił wzrost liczby ataków przy użyciu narzędzia do kradzieży danych, znanego jako EvilExtractor lub Evil Extractor. To narzędzie ma na celu kradzież poufnych danych użytkownika i jest używane zarówno w Europie, jak iw Stanach Zjednoczonych. Narzędzie EvilExtractor jest sprzedawane przez firmę o nazwie Kodex za 59 USD miesięcznie. Narzędzie ma siedem różnych modułów ataku, w tym ransomware, ekstrakcję danych uwierzytelniających i omijanie Windows Defender. Podczas gdy Kodex sprzedaje EvilExtractor jako legalne narzędzie, dowody sugerują, że jest on promowany przede wszystkim wśród cyberprzestępców na forach hakerskich.

Cyberprzestępcy wdrażają EvilExtractor jako złośliwe oprogramowanie kradnące informacje w środowisku naturalnym. Według raportu opublikowanego przez firmę zajmującą się cyberbezpieczeństwem, od początku 2023 roku nasiliły się ataki przy użyciu EvilExtractor. Aktorzy utworzyli powiązaną kampanię phishingową, aby zarażać cele.

EvilExtractor jest dostarczany za pośrednictwem wiadomości e-mail typu phishing

Ataki EvilExtractor rozpoczynają się od e-maila phishingowego, który ma pojawiać się jako prośba o potwierdzenie konta. Wiadomość e-mail zawierała skompresowany załącznik wykonywalny, udający legalny plik PDF lub plik Dropbox. Jednak po otwarciu załącznika uruchamiany był program wykonywalny w języku Python.

Ten program używa pliku PyInstaller do uruchomienia modułu ładującego .NET, który z kolei aktywuje skrypt PowerShell zakodowany w base64 w celu uruchomienia pliku wykonywalnego EvilExtractor. Po uruchomieniu złośliwe oprogramowanie sprawdza nazwę hosta i czas naruszonego systemu, aby wykryć, czy jest ono uruchamiane w środowisku wirtualnym, czy w piaskownicy analitycznej. Jeśli wykryje takie środowisko, zagrożenie złośliwym oprogramowaniem przerywa jego wykonywanie.

Wersja EvilExtractor używana w tych atakach zawiera w sumie siedem różnych modułów. Każdy moduł odpowiada za określoną funkcję, taką jak sprawdzanie daty i czasu, anty-piaskownica, anty-VM, anty-scanner, ustawienie serwera FTP, kradzież danych, przesyłanie danych, czyszczenie logów, a nawet jeden z możliwościami ransomware.

Złośliwe oprogramowanie EvilExtractor może eksfiltrować poufne dane lub działać jako ransomware

Szkodliwe oprogramowanie EvilExtractor zawiera moduł kradnący dane, który pobiera trzy dodatkowe komponenty Pythona o nazwach „KK2023.zip”, „Confirm.zip” i „MnMs.zip”.

Pierwszy komponent wyodrębnia pliki cookie z popularnych przeglądarek, takich jak Google Chrome, Microsoft Edge, Opera i Firefox. Dodatkowo zbiera historię przeglądania i zapisane hasła z obszernego zestawu programów.

Drugi składnik działa jako keylogger, rejestrując dane wprowadzane przez ofiarę z klawiatury i zapisując je w lokalnym folderze do późniejszego odzyskania.

Trzecim komponentem jest ekstraktor kamery internetowej, który może po cichu aktywować kamerę internetową, przechwytywać wideo lub obrazy i przesyłać je na serwer FTP osoby atakującej, który jest wynajmowany przez firmę Kodex.

Złośliwe oprogramowanie kradnie również dokumenty i pliki multimedialne z folderów Desktop i Downloads ofiary, przechwytuje dowolne zrzuty ekranu i przekazuje wszystkie zebrane dane swoim operatorom.

Moduł ransomware tego złośliwego oprogramowania jest zagnieżdżony w programie ładującym i po aktywacji pobiera dodatkowy plik o nazwie „zzyy.zip” ze strony internetowej produktu. Jest to narzędzie do blokowania plików, które wykorzystuje aplikację 7-Zip do tworzenia chronionego hasłem archiwum zawierającego pliki ofiary, skutecznie uniemożliwiając dostęp do nich bez hasła.