มัลแวร์ EvilExtractor

ตามรายงานความปลอดภัยทางไซเบอร์ มีการโจมตีเพิ่มขึ้นเมื่อเร็ว ๆ นี้โดยใช้เครื่องมือขโมยข้อมูลที่เรียกว่า EvilExtractor หรือ Evil Extractor เครื่องมือนี้ออกแบบมาเพื่อขโมยข้อมูลผู้ใช้ที่ละเอียดอ่อนและถูกใช้ทั้งในยุโรปและสหรัฐอเมริกา เครื่องมือ EvilExtractor จำหน่ายโดยบริษัทชื่อ Kodex ในราคา 59 ดอลลาร์ต่อเดือน เครื่องมือนี้มีโมดูลการโจมตีที่แตกต่างกันเจ็ดโมดูล รวมถึงแรนซัมแวร์ การสกัดข้อมูลประจำตัว และการบายพาส Windows Defender ในขณะที่ Kodex ทำการตลาดให้ EvilExtractor เป็นเครื่องมือที่ถูกกฎหมาย แต่หลักฐานบ่งชี้ว่ามีการส่งเสริมให้อาชญากรไซเบอร์ในฟอรัมแฮ็กข้อมูลเป็นหลัก

อาชญากรไซเบอร์ใช้ EvilExtractor เป็นมัลแวร์ขโมยข้อมูล ตามรายงานที่เผยแพร่โดยบริษัทรักษาความปลอดภัยทางไซเบอร์ การโจมตีโดยใช้ EvilExtractor ได้เพิ่มขึ้นตั้งแต่ต้นปี 2566 ผู้คุกคามได้สร้างแคมเปญฟิชชิ่งที่เชื่อมโยงเพื่อหาวิธีแพร่เชื้อไปยังเป้าหมาย

EvilExtractor จะถูกส่งผ่านอีเมลฟิชชิ่ง

การโจมตี EvilExtractor เริ่มต้นด้วยอีเมลฟิชชิ่งซึ่งออกแบบมาเพื่อให้ปรากฏเป็นคำขอยืนยันบัญชี อีเมลดังกล่าวมีไฟล์แนบปฏิบัติการที่ถูกบีบอัด ซึ่งปลอมแปลงเป็นไฟล์ PDF หรือ Dropbox ที่ถูกต้อง อย่างไรก็ตาม เมื่อเปิดไฟล์แนบแล้ว โปรแกรมปฏิบัติการ Python ก็ถูกเปิดขึ้นมา

โปรแกรมนี้ใช้ไฟล์ PyInstaller เพื่อเรียกใช้งานตัวโหลด .NET ซึ่งจะเปิดใช้งานสคริปต์ PowerShell ที่เข้ารหัสแบบ base64 เพื่อเรียกใช้โปรแกรมเรียกทำงาน EvilExtractor เมื่อเปิดตัว มัลแวร์จะตรวจสอบชื่อโฮสต์และเวลาของระบบที่ละเมิดเพื่อตรวจดูว่ามีการเรียกใช้ในสภาพแวดล้อมเสมือนจริงหรือแซนด์บ็อกซ์การวิเคราะห์ หากตรวจพบสภาพแวดล้อมดังกล่าว ภัยคุกคามจากมัลแวร์จะยุติการดำเนินการ

รุ่นของ EvilExtractor ที่ใช้ในการโจมตีเหล่านี้มีทั้งหมดเจ็ดโมดูลที่แตกต่างกัน แต่ละโมดูลจะรับผิดชอบฟังก์ชันเฉพาะ เช่น การตรวจสอบวันที่และเวลา, การป้องกันแซนด์บ็อกซ์, การป้องกัน VM, การป้องกันการสแกน, การตั้งค่าเซิร์ฟเวอร์ FTP, การขโมยข้อมูล, การอัปโหลดข้อมูล, การล้างข้อมูลบันทึก และแม้แต่โมดูลที่มีความสามารถด้านแรนซัมแวร์

มัลแวร์ EvilExtractor สามารถกรองข้อมูลที่ละเอียดอ่อนหรือทำหน้าที่เป็นแรนซัมแวร์ได้

มัลแวร์ EvilExtractor ประกอบด้วยโมดูลขโมยข้อมูลที่ดาวน์โหลดส่วนประกอบ Python เพิ่มเติมสามรายการชื่อ 'KK2023.zip,' 'Confirm.zip,' และ 'MnMs.zip'

องค์ประกอบแรกแยกคุกกี้จากเบราว์เซอร์ยอดนิยม เช่น Google Chrome, Microsoft Edge, Opera และ Firefox นอกจากนี้ยังรวบรวมประวัติการเข้าชมและรหัสผ่านที่บันทึกไว้จากชุดโปรแกรมมากมาย

คอมโพเนนต์ที่สองทำหน้าที่เป็นคีย์ล็อกเกอร์ บันทึกอินพุตจากแป้นพิมพ์ของเหยื่อและบันทึกไว้ในโฟลเดอร์ในเครื่องเพื่อเรียกค้นในภายหลัง

ส่วนประกอบที่สามคือตัวแยกเว็บแคมที่สามารถเปิดใช้งานเว็บแคมอย่างเงียบ ๆ จับภาพวิดีโอหรือรูปภาพ และอัปโหลดไปยังเซิร์ฟเวอร์ FTP ของผู้โจมตี ซึ่งเช่าโดย Kodex

มัลแวร์ยังขโมยไฟล์เอกสารและไฟล์มีเดียจากเดสก์ท็อปและโฟลเดอร์ดาวน์โหลดของเหยื่อ จับภาพหน้าจอตามอำเภอใจ และกรองข้อมูลทั้งหมดที่รวบรวมได้ไปยังผู้ให้บริการ

โมดูลแรนซั่มแวร์ของมัลแวร์ฝังอยู่ภายในตัวโหลด และเมื่อเปิดใช้งาน จะดาวน์โหลดไฟล์เพิ่มเติมชื่อ 'zzyy.zip' จากเว็บไซต์ของผลิตภัณฑ์ เป็นเครื่องมือล็อคไฟล์ที่ใช้แอพ 7-Zip เพื่อสร้างไฟล์เก็บถาวรที่มีการป้องกันด้วยรหัสผ่านซึ่งมีไฟล์ของเหยื่อ ป้องกันการเข้าถึงไฟล์โดยไม่ใช้รหัสผ่านได้อย่างมีประสิทธิภาพ