Вредоносное ПО EvilExtractor

Согласно отчетам о кибербезопасности, в последнее время участились атаки с использованием инструмента для кражи данных, известного как EvilExtractor или Evil Extractor. Этот инструмент предназначен для кражи конфиденциальных пользовательских данных и используется как в Европе, так и в США. Инструмент EvilExtractor продается компанией Kodex за 59 долларов в месяц. Инструмент имеет семь различных модулей атаки, включая программы-вымогатели, извлечение учетных данных и обход Защитника Windows. Хотя Kodex позиционирует EvilExtractor как законный инструмент, данные свидетельствуют о том, что он в первую очередь рекламируется киберпреступникам на хакерских форумах.

Киберпреступники используют EvilExtractor как вредоносное ПО для кражи информации. Согласно отчету, опубликованному компанией по кибербезопасности, количество атак с использованием EvilExtractor резко возросло с начала 2023 года. Злоумышленники организовали связанную фишинговую кампанию как способ заражения целей.

EvilExtractor доставляется через фишинговые письма

Атаки EvilExtractor начинаются с фишингового письма, которое выглядит как запрос на подтверждение учетной записи. Электронное письмо содержало сжатое исполняемое вложение, замаскированное под законный файл PDF или Dropbox. Однако при открытии вложения запускалась исполняемая программа Python.

Эта программа использует файл PyInstaller для запуска загрузчика .NET, который, в свою очередь, активирует сценарий PowerShell в кодировке base64 для запуска исполняемого файла EvilExtractor. При запуске вредоносная программа проверяет имя хоста и время взломанной системы, чтобы определить, выполняется ли она в виртуальной среде или в тестовой песочнице. При обнаружении такой среды вредоносная программа прекращает свое выполнение.

Версия EvilExtractor, используемая в этих атаках, включает семь отдельных модулей. Каждый модуль отвечает за определенную функцию, такую как проверка даты и времени, защита от песочницы, защита от виртуальной машины, защита от сканирования, настройка FTP-сервера, кража данных, загрузка данных, очистка журнала и даже модуль с возможностями вымогателей.

Вредоносное ПО EvilExtractor может извлекать конфиденциальные данные или действовать как программа-вымогатель

Вредоносная программа EvilExtractor содержит модуль для кражи данных, который загружает три дополнительных компонента Python с именами «KK2023.zip», «Confirm.zip» и «MnMs.zip».

Первый компонент извлекает файлы cookie из популярных браузеров, таких как Google Chrome, Microsoft Edge, Opera и Firefox. Кроме того, он собирает историю просмотров и сохраненные пароли из обширного набора программ.

Второй компонент работает как кейлоггер, записывая действия жертвы с клавиатуры и сохраняя их в локальной папке для последующего извлечения.

Третий компонент — это экстрактор веб-камеры, который может бесшумно активировать веб-камеру, захватывать видео или изображения и загружать их на FTP-сервер злоумышленника, арендуемый Kodex.

Вредонос также крадет документы и медиафайлы из папок «Рабочий стол» и «Загрузки» жертвы, делает произвольные снимки экрана и передает все собранные данные своим операторам.

Модуль вымогателя вредоносного ПО вложен в загрузчик и при активации загружает дополнительный файл с именем «zzyy.zip» с веб-сайта продукта. Это инструмент блокировки файлов, который использует приложение 7-Zip для создания защищенного паролем архива, содержащего файлы жертвы, эффективно предотвращая доступ к ним без пароля.