EvilExtractor Malware

De acordo com relatórios de segurança cibernética, houve um aumento recente de ataques usando uma ferramenta de roubo de dados conhecida como EvilExtractor ou Evil Extractor. Essa ferramenta foi projetada para roubar dados confidenciais do usuário e está sendo usada na Europa e nos EUA. A ferramenta EvilExtractor é vendida por uma empresa chamada Kodex por US$59 por mês. A ferramenta possui sete módulos de ataque diferentes, incluindo ransomware, extração de credenciais e desvio do Windows Defender. Embora a Kodex comercialize o EvilExtractor como uma ferramenta legítima, as evidências sugerem que ele está sendo promovido principalmente para cibercriminosos em fóruns de hackers.

Os cibercriminosos estão implantando o EvilExtractor como um malware de roubo de informações em estado selvagem. De acordo com um relatório publicado por uma empresa de segurança cibernética, os ataques usando o EvilExtractor aumentaram desde o início de 2023. Os agentes de ameaças estabeleceram uma campanha de phishing vinculada como forma de infectar os alvos.

O EvilExtractor é Entregue através de E-Mails de Phishing

Os ataques do EvilExtractor começam com um e-mail de phishing projetado para aparecer como uma solicitação de confirmação de conta. O e-mail continha um anexo executável compactado, disfarçado como um arquivo PDF ou Dropbox legítimo. No entanto, ao abrir o anexo, um programa executável Python foi iniciado.

Este programa usa um arquivo PyInstaller para executar um carregador .NET, que, por sua vez, ativa um script PowerShell codificado em base64 para iniciar o executável EvilExtractor. Ao ser iniciado, o malware verifica o nome do host e o tempo do sistema violado para detectar se ele está sendo executado em um ambiente virtual ou em uma caixa de areia de análise. Se detectar tal ambiente, a ameaça de malware encerra sua execução.

A versão do EvilExtractor usada nesses ataques inclui um total de sete módulos distintos. Cada módulo é responsável por uma função específica, como verificação de data e hora, anti-sandbox, anti-VM, anti-scanner, configuração do servidor FTP, roubo de dados, upload de dados, limpeza de logs e até mesmo um com recursos de ransomware.

O EvilExtractor Malware pode Exfiltrar Dados Confidenciais ou Agir como um Ransomware

O EvilExtractor Malware contém um módulo de roubo de dados que baixa três componentes Python adicionais chamados 'KK2023.zip', 'Confirm.zip' e 'MnMs.zip'.

O primeiro componente extrai cookies de navegadores populares, como Google Chrome, Microsoft Edge, Opera e Firefox. Além disso, ele coleta o histórico de navegação e as senhas salvas de um extenso conjunto de programas.

O segundo componente funciona como um keylogger, registrando as entradas de teclado da vítima e salvando-as em uma pasta local para serem recuperadas posteriormente.

O terceiro componente é um extrator de webcam que pode ativar silenciosamente a webcam, capturar vídeos ou imagens e carregá-los no servidor FTP do invasor, que é alugado pela Kodex.

O malware também rouba documentos e arquivos de mídia das pastas Desktop e Downloads da vítima, captura capturas de tela arbitrárias e exfiltra todos os dados coletados para seus operadores.

O módulo ransomware do malware está aninhado no carregador e, quando ativado, baixa um arquivo adicional chamado 'zzyy.zip' do site do produto. É uma ferramenta de bloqueio de arquivos que usa o aplicativo 7-Zip para criar um arquivo protegido por senha contendo os arquivos da vítima, impedindo efetivamente o acesso a eles sem a senha.