Malware EvilExtractor

Sipas raporteve të sigurisë kibernetike, kohët e fundit ka pasur një rritje të sulmeve duke përdorur një mjet për vjedhjen e të dhënave të njohur si EvilExtractor ose Evil Extractor. Ky mjet është krijuar për të vjedhur të dhëna të ndjeshme të përdoruesit dhe po përdoret si në Evropë ashtu edhe në SHBA. Vegla EvilExtractor shitet nga një kompani e quajtur Kodex për 59 dollarë në muaj. Mjeti ka shtatë module të ndryshme sulmi, duke përfshirë ransomware, nxjerrjen e kredencialeve dhe anashkalimin e Windows Defender. Ndërsa Kodex e tregton EvilExtractor si një mjet legjitim, provat sugjerojnë se ai kryesisht po promovohet te kriminelët kibernetikë në forumet e hakerëve.

Kriminelët kibernetikë po vendosin EvilExtractor si një malware për vjedhjen e informacionit në natyrë. Sipas një raporti të publikuar nga një kompani e sigurisë kibernetike, sulmet duke përdorur EvilExtractor janë rritur që nga fillimi i vitit 2023. Aktorët e kërcënimit kanë krijuar një fushatë të lidhur phishing si një mënyrë për të infektuar objektivat.

EvilExtractor dorëzohet përmes emaileve të phishing

Sulmet e EvilExtractor fillojnë me një email phishing që është krijuar për t'u shfaqur si një kërkesë për konfirmim llogarie. Email-i përmbante një bashkëngjitje të ngjeshur të ekzekutueshme, të maskuar si një skedar legjitim PDF ose Dropbox. Sidoqoftë, me hapjen e bashkëngjitjes, u lançua një program i ekzekutueshëm i Python.

Ky program përdor një skedar PyInstaller për të ekzekutuar një ngarkues .NET, i cili, nga ana tjetër, aktivizon një skript PowerShell të koduar me bazë 64 për të nisur ekzekutuesin EvilExtractor. Pas nisjes, malware kontrollon emrin e hostit dhe kohën e sistemit të shkelur për të zbuluar nëse ai po ekzekutohet në një mjedis virtual ose në kutinë e analizës. Nëse zbulon një mjedis të tillë, kërcënimi i malware përfundon ekzekutimin e tij.

Versioni i EvilExtractor i përdorur në këto sulme përfshin gjithsej shtatë module të ndryshme. Secili modul është përgjegjës për një funksion specifik, si kontrolli i datës dhe orës, anti-sandbox, anti-VM, anti-skaner, konfigurimi i serverit FTP, vjedhja e të dhënave, ngarkimi i të dhënave, pastrimi i regjistrave dhe madje edhe një me aftësi ransomware.

Malware EvilExtractor mund të ekfiltrojë të dhëna të ndjeshme ose të veprojë si Ransomware

Malware EvilExtractor përmban një modul për vjedhjen e të dhënave që shkarkon tre komponentë shtesë Python të quajtur "KK2023.zip", "Confirm.zip" dhe "MnMs.zip".

Komponenti i parë nxjerr cookie nga shfletuesit e njohur si Google Chrome, Microsoft Edge, Opera dhe Firefox. Për më tepër, ai mbledh historinë e shfletimit dhe fjalëkalimet e ruajtura nga një grup i gjerë programesh.

Komponenti i dytë funksionon si keylogger, duke regjistruar hyrjet e tastierës së viktimës dhe duke i ruajtur ato në një dosje lokale për t'u marrë më vonë.

Komponenti i tretë është një nxjerrës i kamerës së internetit që mund të aktivizojë në heshtje kamerën e internetit, të regjistrojë video ose imazhe dhe t'i ngarkojë ato në serverin FTP të sulmuesit, i cili është marrë me qira nga Kodex.

Malware gjithashtu vjedh dokumente dhe skedarë mediash nga dosjet e desktopit dhe Shkarkimeve të viktimës, kap pamje arbitrare të ekranit dhe nxjerr të gjitha të dhënat e mbledhura te operatorët e tij.

Moduli i ransomware-it të malware është i vendosur brenda ngarkuesit dhe, kur aktivizohet, shkarkon një skedar shtesë të quajtur 'zzyy.zip' nga faqja e internetit e produktit. Është një mjet për mbylljen e skedarëve që përdor aplikacionin 7-Zip për të krijuar një arkiv të mbrojtur me fjalëkalim që përmban skedarët e viktimës, duke parandaluar në mënyrë efektive aksesin në to pa fjalëkalim.