Zlonamerna programska oprema EvilExtractor

Glede na poročila o kibernetski varnosti se je nedavno povečalo število napadov z uporabo orodja za krajo podatkov, znanega kot EvilExtractor ali Evil Extractor. To orodje je zasnovano za krajo občutljivih uporabniških podatkov in se uporablja tako v Evropi kot v ZDA. Orodje EvilExtractor prodaja podjetje z imenom Kodex za 59 USD na mesec. Orodje ima sedem različnih napadalnih modulov, vključno z izsiljevalsko programsko opremo, pridobivanjem poverilnic in obhodom programa Windows Defender. Medtem ko Kodex trži EvilExtractor kot legitimno orodje, dokazi kažejo, da se na hekerskih forumih oglašuje predvsem kibernetskim kriminalcem.

Kibernetski kriminalci uvajajo EvilExtractor kot zlonamerno programsko opremo za krajo informacij v naravi. Glede na poročilo, ki ga je objavilo podjetje za kibernetsko varnost, so se napadi z uporabo EvilExtractorja povečali od začetka leta 2023. Akterji groženj so vzpostavili povezano kampanjo lažnega predstavljanja kot način za okužbo tarč.

EvilExtractor se dostavlja prek lažnih e-poštnih sporočil

Napadi EvilExtractor se začnejo z lažnim e-poštnim sporočilom, ki je zasnovano tako, da se prikaže kot zahteva za potrditev računa. E-poštno sporočilo je vsebovalo stisnjeno izvršljivo priponko, prikrito kot zakonito datoteko PDF ali Dropbox. Vendar se je ob odprtju priponke zagnal izvršljiv program Python.

Ta program uporablja datoteko PyInstaller za izvajanje nalagalnika .NET, ki nato aktivira skript PowerShell, kodiran z base64, da zažene izvršljivo datoteko EvilExtractor. Ob zagonu zlonamerna programska oprema preveri ime gostitelja in čas vdora sistema, da ugotovi, ali se izvaja v virtualnem okolju ali peskovniku za analizo. Če zazna takšno okolje, grožnja zlonamerne programske opreme prekine svoje izvajanje.

Različica EvilExtractorja, uporabljena v teh napadih, vključuje skupno sedem različnih modulov. Vsak modul je odgovoren za določeno funkcijo, kot je preverjanje datuma in časa, zaščita pred peskovnikom, zaščita pred VM, zaščita pred optičnim branjem, nastavitev strežnika FTP, krajo podatkov, nalaganje podatkov, brisanje dnevnika in celo modul z zmožnostmi izsiljevalske programske opreme.

Zlonamerna programska oprema EvilExtractor lahko izloči občutljive podatke ali deluje kot izsiljevalska programska oprema

Zlonamerna programska oprema EvilExtractor vsebuje modul za krajo podatkov, ki prenese tri dodatne komponente Python z imenom »KK2023.zip«, »Confirm.zip« in »MnMs.zip«.

Prva komponenta ekstrahira piškotke iz priljubljenih brskalnikov, kot so Google Chrome, Microsoft Edge, Opera in Firefox. Poleg tega zbira zgodovino brskanja in shranjena gesla iz obsežnega nabora programov.

Druga komponenta deluje kot zapisovalnik tipk, snema žrtvine vnose s tipkovnice in jih shranjuje v lokalno mapo, ki jo lahko pozneje pridobite.

Tretja komponenta je ekstraktor spletne kamere, ki lahko tiho aktivira spletno kamero, zajame video ali slike in jih naloži na napadalčev strežnik FTP, ki ga ima v najemu Kodex.

Zlonamerna programska oprema prav tako ukrade dokumente in predstavnostne datoteke iz žrtvine mape Namizje in Prenosi, zajame poljubne posnetke zaslona in vse zbrane podatke posreduje svojim operaterjem.

Modul izsiljevalske programske opreme zlonamerne programske opreme je ugnezden v nalagalniku in, ko je aktiviran, s spletnega mesta izdelka prenese dodatno datoteko z imenom »zzyy.zip«. To je orodje za zaklepanje datotek, ki uporablja aplikacijo 7-Zip za ustvarjanje arhiva, zaščitenega z geslom, ki vsebuje datoteke žrtve in učinkovito preprečuje dostop do njih brez gesla.