ЕвилЕктрацтор Малваре

Према извештајима о сајбер безбедности, недавно је дошло до пораста напада помоћу алата за крађу података познатог као ЕвилЕктрацтор или Евил Ектрацтор. Овај алат је дизајниран за крађу осетљивих корисничких података и користи се и у Европи и у САД. ЕвилЕктрацтор алат продаје компанија по имену Кодек за 59 долара месечно. Алат има седам различитих модула напада, укључујући рансомваре, екстракцију акредитива и заобилажење Виндовс Дефендер-а. Док Кодек пласира ЕвилЕктрацтор као легитиман алат, докази сугеришу да се он првенствено промовише сајбер криминалцима на форумима за хаковање.

Сајбер криминалци примењују ЕвилЕктрацтор као малвер за крађу информација у дивљини. Према извештају који је објавила компанија за сајбер безбедност, напади који користе ЕвилЕктрацтор су порасли од почетка 2023. Актери претњи су успоставили повезану пхисхинг кампању као начин да заразе мете.

ЕвилЕктрацтор се испоручује путем е-поште за пхисхинг

ЕвилЕктрацтор напади почињу са пхисхинг емаил-ом који је дизајниран да се појави као захтев за потврду налога. Е-пошта је садржала компримовани извршни прилог, прерушен у легитимну ПДФ или Дропбок датотеку. Међутим, након отварања прилога, покренут је Пајтонов извршни програм.

Овај програм користи ПиИнсталлер датотеку за извршавање .НЕТ учитавача, који заузврат активира ПоверСхелл скрипту кодирану басе64 за покретање извршне датотеке ЕвилЕктрацтор. По покретању, злонамерни софтвер проверава име хоста и време оштећеног система да би открио да ли се покреће у виртуелном окружењу или у сандбок-у за анализу. Ако открије такво окружење, претња од малвера прекида своје извршавање.

Верзија ЕвилЕктрацтор-а која се користи у овим нападима укључује укупно седам различитих модула. Сваки модул је одговоран за одређену функцију, као што је провера датума и времена, анти-сандбок, анти-ВМ, анти-скенер, подешавање ФТП сервера, крађа података, отпремање података, брисање дневника, па чак и онај са могућностима рансомваре-а.

Злонамерни софтвер ЕвилЕктрацтор може ексфилтрирати осетљиве податке или деловати као Рансомваре

Злонамерни софтвер ЕвилЕктрацтор садржи модул за крађу података који преузима три додатне Питхон компоненте под називом „КК2023.зип“, „Цонфирм.зип“ и „МнМс.зип“.

Прва компонента издваја колачиће из популарних претраживача као што су Гоогле Цхроме, Мицрософт Едге, Опера и Фирефок. Поред тога, прикупља историју прегледања и сачуване лозинке из великог скупа програма.

Друга компонента функционише као кеилоггер, снимајући уносе са тастатуре жртве и чувајући их у локалној фасцикли да би се касније вратили.

Трећа компонента је екстрактор веб камере који може тихо да активира веб камеру, сними видео или слике и отпреми их на нападачев ФТП сервер, који изнајмљује Кодек.

Злонамерни софтвер такође краде документе и медијске датотеке из фасцикли на радној површини и преузимањима жртве, снима произвољне снимке екрана и ексфилтрира све прикупљене податке својим оператерима.

Модул рансомваре-а малвера је угнежђен у учитавачу и, када се активира, преузима додатну датотеку под називом „ззии.зип“ са веб локације производа. То је алатка за закључавање датотека која користи апликацију 7-Зип за креирање архиве заштићене лозинком која садржи датотеке жртве, ефикасно спречавајући приступ њима без лозинке.