Škodlivý softvér EvilExtractor

Podľa správ o kybernetickej bezpečnosti nedávno došlo k nárastu útokov pomocou nástroja na krádež údajov známeho ako EvilExtractor alebo Evil Extractor. Tento nástroj je navrhnutý na odcudzenie citlivých používateľských údajov a používa sa v Európe aj v USA. Nástroj EvilExtractor predáva spoločnosť s názvom Kodex za 59 dolárov mesačne. Nástroj má sedem rôznych modulov útoku vrátane ransomvéru, extrakcie poverení a obchádzania programu Windows Defender. Zatiaľ čo Kodex uvádza na trh EvilExtractor ako legitímny nástroj, dôkazy naznačujú, že je primárne povýšený na kyberzločincov na hackerských fórach.

Kyberzločinci nasadzujú EvilExtractor ako malvér kradnúci informácie vo voľnej prírode. Podľa správy, ktorú zverejnila spoločnosť zaoberajúca sa kybernetickou bezpečnosťou, útoky využívajúce EvilExtractor od začiatku roku 2023 prudko vzrástli. Aktéri hrozby vytvorili prepojenú phishingovú kampaň ako spôsob infikovania cieľov.

EvilExtractor sa doručuje prostredníctvom phishingových e-mailov

Útoky EvilExtractor začínajú phishingovým e-mailom, ktorý sa má zobraziť ako žiadosť o potvrdenie účtu. E-mail obsahoval komprimovanú spustiteľnú prílohu, maskovanú ako legitímny súbor PDF alebo Dropbox. Po otvorení prílohy sa však spustil spustiteľný program Pythonu.

Tento program používa súbor PyInstaller na spustenie zavádzača .NET, ktorý následne aktivuje skript PowerShell zakódovaný v base64 na spustenie spustiteľného súboru EvilExtractor. Po spustení malvér skontroluje názov hostiteľa a čas narušeného systému, aby zistil, či je spustený vo virtuálnom prostredí alebo v analytickom karanténe. Ak takéto prostredie zistí, malvérová hrozba ukončí jeho vykonávanie.

Verzia EvilExtractor použitá pri týchto útokoch obsahuje celkovo sedem odlišných modulov. Každý modul je zodpovedný za špecifickú funkciu, ako je kontrola dátumu a času, anti-sandbox, anti-VM, anti-scanner, nastavenie FTP servera, kradnutie údajov, nahrávanie údajov, vymazávanie protokolov a dokonca aj funkcia s ransomware.

Malvér EvilExtractor môže exfiltrovať citlivé údaje alebo pôsobiť ako ransomvér

Malvér EvilExtractor obsahuje modul na kradnutie údajov, ktorý sťahuje tri ďalšie komponenty Pythonu s názvom „KK2023.zip“, „Confirm.zip“ a „MnMs.zip“.

Prvý komponent extrahuje súbory cookie z populárnych prehliadačov, ako sú Google Chrome, Microsoft Edge, Opera a Firefox. Okrem toho zhromažďuje históriu prehliadania a uložené heslá z rozsiahlej sady programov.

Druhý komponent funguje ako keylogger, zaznamenáva vstupy obete z klávesnice a ukladá ich do lokálneho priečinka, aby si ich mohol neskôr získať.

Tretím komponentom je extraktor webovej kamery, ktorý dokáže potichu aktivovať webovú kameru, zachytávať video alebo obrázky a nahrávať ich na útočníkov FTP server, ktorý si prenajíma Kodex.

Malvér tiež kradne dokumenty a mediálne súbory z priečinkov Desktop a Downloads obete, zachytáva ľubovoľné snímky obrazovky a exfiltruje všetky zozbierané údaje svojim operátorom.

Modul ransomvéru škodlivého softvéru je vnorený do zavádzača a keď je aktivovaný, stiahne ďalší súbor s názvom „zzyy.zip“ z webovej stránky produktu. Ide o nástroj na uzamykanie súborov, ktorý používa aplikáciu 7-Zip na vytvorenie archívu chráneného heslom, ktorý obsahuje súbory obete, čím účinne bráni prístupu k nim bez hesla.