Malware EvilExtractor

Potrivit rapoartelor de securitate cibernetică, a existat o creștere recentă a atacurilor care utilizează un instrument de furt de date cunoscut sub numele de EvilExtractor sau Evil Extractor. Acest instrument este conceput pentru a fura date sensibile ale utilizatorilor și este folosit atât în Europa, cât și în SUA. Instrumentul EvilExtractor este vândut de o companie numită Kodex pentru 59 USD pe lună. Instrumentul are șapte module de atac diferite, inclusiv ransomware, extragerea acreditărilor și ocolirea Windows Defender. În timp ce Kodex comercializează EvilExtractor ca un instrument legitim, dovezile sugerează că este promovat în primul rând infractorilor cibernetici pe forumurile de hacking.

Criminalii cibernetici implementează EvilExtractor ca un malware care fură informații în sălbăticie. Potrivit unui raport publicat de o companie de securitate cibernetică, atacurile care utilizează EvilExtractor au crescut de la începutul anului 2023. Actorii amenințărilor au stabilit o campanie de phishing conectată ca o modalitate de a infecta ținte.

EvilExtractor este livrat prin e-mailuri de phishing

Atacurile EvilExtractor încep cu un e-mail de phishing care este conceput să apară ca o solicitare de confirmare a contului. E-mailul conținea un atașament executabil comprimat, deghizat într-un fișier PDF sau Dropbox legitim. Cu toate acestea, la deschiderea atașamentului, a fost lansat un program executabil Python.

Acest program folosește un fișier PyInstaller pentru a executa un încărcător .NET, care, la rândul său, activează un script PowerShell codificat în base64 pentru a lansa executabilul EvilExtractor. La lansare, malware-ul verifică numele de gazdă al sistemului încălcat și timpul pentru a detecta dacă este rulat într-un mediu virtual sau într-un sandbox de analiză. Dacă detectează un astfel de mediu, amenințarea malware își încetează execuția.

Versiunea de EvilExtractor folosită în aceste atacuri include un total de șapte module distincte. Fiecare modul este responsabil pentru o funcție specifică, cum ar fi verificarea datei și orei, anti-sandbox, anti-VM, anti-scanner, setarea serverului FTP, furtul de date, încărcarea datelor, ștergerea jurnalelor și chiar unul cu capabilități ransomware.

EvilExtractor Malware poate să exfiltreze date sensibile sau să acționeze ca ransomware

Programul malware EvilExtractor conține un modul de furt de date care descarcă trei componente Python suplimentare numite „KK2023.zip”, „Confirm.zip” și „MnMs.zip”.

Prima componentă extrage cookie-uri din browsere populare, cum ar fi Google Chrome, Microsoft Edge, Opera și Firefox. În plus, colectează istoricul de navigare și parolele salvate dintr-un set extins de programe.

A doua componentă funcționează ca un keylogger, înregistrând intrările de la tastatură ale victimei și salvându-le într-un folder local pentru a fi preluat ulterior.

A treia componentă este un extractor de cameră web care poate activa în tăcere camera web, poate captura videoclipuri sau imagini și le poate încărca pe serverul FTP al atacatorului, care este închiriat de Kodex.

De asemenea, programul malware fură documente și fișiere media din folderele Desktop și Descărcări ale victimei, captează capturi de ecran arbitrare și exfiltrează toate datele colectate către operatorii săi.

Modulul ransomware al malware-ului este imbricat în încărcătorul și, atunci când este activat, descarcă un fișier suplimentar numit „zzyy.zip” de pe site-ul web al produsului. Este un instrument de blocare a fișierelor care utilizează aplicația 7-Zip pentru a crea o arhivă protejată prin parolă care conține fișierele victimei, împiedicând efectiv accesul la acestea fără parolă.