EvilExtractor Malware

Enligt cybersäkerhetsrapporter har det nyligen skett en ökning av attacker med ett datastöldverktyg känt som EvilExtractor eller Evil Extractor. Det här verktyget är utformat för att stjäla känslig användardata och används i både Europa och USA. EvilExtractor-verktyget säljs av ett företag som heter Kodex för $59 per månad. Verktyget har sju olika attackmoduler, inklusive ransomware, extrahering av autentiseringsuppgifter och Windows Defender-bypass. Medan Kodex marknadsför EvilExtractor som ett legitimt verktyg, tyder bevis på att det främst marknadsförs till cyberbrottslingar på hackingforum.

Cyberbrottslingar använder EvilExtractor som en informationsstjäl skadlig programvara i naturen. Enligt en rapport publicerad av ett cybersäkerhetsföretag har attacker med EvilExtractor ökat sedan början av 2023. Hotaktörerna har etablerat en länkad nätfiskekampanj som ett sätt att infektera mål.

EvilExtractor levereras via e-post med nätfiske

EvilExtractor-attackerna börjar med ett nätfiske-e-postmeddelande som är utformat för att visas som en begäran om kontobekräftelse. E-postmeddelandet innehöll en komprimerad körbar bilaga, förklädd som en legitim PDF- eller Dropbox-fil. Men när bilagan öppnades, startades ett körbart Python-program.

Det här programmet använder en PyInstaller-fil för att köra en .NET-laddare, som i sin tur aktiverar ett base64-kodat PowerShell-skript för att starta den körbara EvilExtractor. Vid lansering kontrollerar skadlig programvara det intrångade systemets värdnamn och tid för att upptäcka om det körs i en virtuell miljö eller analyssandlåda. Om den upptäcker en sådan miljö, avslutar hotet med skadlig programvara dess exekvering.

Den version av EvilExtractor som används i dessa attacker innehåller totalt sju distinkta moduler. Varje modul ansvarar för en specifik funktion, såsom datum- och tidskontroll, anti-sandlåda, anti-VM, anti-scanner, FTP-serverinställning, datastöld, datauppladdning, loggrensning och till och med en med möjligheter till ransomware.

EvilExtractor Malware kan exfiltrera känsliga data eller fungera som Ransomware

Skadlig programvara EvilExtractor innehåller en datastöldmodul som laddar ner ytterligare tre Python-komponenter med namnet 'KK2023.zip', 'Confirm.zip' och 'MnMs.zip.'

Den första komponenten extraherar cookies från populära webbläsare som Google Chrome, Microsoft Edge, Opera och Firefox. Dessutom samlar den in webbhistorik och sparade lösenord från en omfattande uppsättning program.

Den andra komponenten fungerar som en keylogger, registrerar offrets tangentbordsinmatningar och sparar dem i en lokal mapp för att kunna hämtas senare.

Den tredje komponenten är en webbkameraextraktor som tyst kan aktivera webbkameran, fånga video eller bilder och ladda upp dem till angriparens FTP-server, som hyrs av Kodex.

Skadlig programvara stjäl också dokument- och mediefiler från offrets skrivbords- och nedladdningsmappar, tar godtyckliga skärmdumpar och exfiltrerar all insamlad data till dess operatörer.

Skadlig programvaras ransomware-modul är kapslad i laddaren och, när den är aktiverad, laddar den ner ytterligare en fil med namnet 'zzyy.zip' från produktens webbplats. Det är ett fillåsningsverktyg som använder 7-Zip-appen för att skapa ett lösenordsskyddat arkiv som innehåller offrets filer, vilket effektivt förhindrar åtkomst till dem utan lösenordet.