EvilExtractor Malware
Ayon sa mga ulat sa cybersecurity, nagkaroon ng kamakailang pagtaas sa mga pag-atake gamit ang isang tool sa pagnanakaw ng data na kilala bilang EvilExtractor o ang Evil Extractor. Idinisenyo ang tool na ito para magnakaw ng sensitibong data ng user at ginagamit ito sa Europe at US Ang EvilExtractor tool ay ibinebenta ng kumpanyang pinangalanang Kodex sa halagang $59 bawat buwan. Ang tool ay may pitong iba't ibang module ng pag-atake, kabilang ang ransomware, credential extraction at Windows Defender bypassing. Habang ipinagbibili ng Kodex ang EvilExtractor bilang isang lehitimong tool, ang ebidensya ay nagmumungkahi na ito ay pangunahing na-promote sa mga cybercriminal sa mga forum sa pag-hack.
Ang mga cybercriminal ay nagde-deploy ng EvilExtractor bilang isang malware na nagnanakaw ng impormasyon sa ligaw. Ayon sa isang ulat na inilathala ng isang kumpanya ng cybersecurity, ang mga pag-atake gamit ang EvilExtractor ay tumaas mula noong simula ng 2023. Ang mga banta ng aktor ay nagtatag ng isang naka-link na kampanya sa phishing bilang isang paraan upang mahawahan ang mga target.
Ang EvilExtractor ay Inihahatid sa pamamagitan ng Phishing Email
Ang mga pag-atake ng EvilExtractor ay nagsisimula sa isang phishing na email na idinisenyo upang lumitaw bilang isang kahilingan sa pagkumpirma ng account. Ang email ay naglalaman ng isang naka-compress na executable na attachment, na itinago bilang isang lehitimong PDF o Dropbox file. Gayunpaman, sa pagbukas ng attachment, isang Python executable program ang inilunsad.
Gumagamit ang program na ito ng PyInstaller file para mag-execute ng .NET loader, na nag-a-activate ng base64-encoded PowerShell script para ilunsad ang EvilExtractor executable. Sa paglunsad, sinusuri ng malware ang hostname at oras ng nalabag na system upang matukoy kung ito ay pinapatakbo sa isang virtual na kapaligiran o pagsusuri sa sandbox. Kung makakita ito ng ganitong kapaligiran, ang banta ng malware ay magwawakas sa pagpapatupad nito.
Kasama sa bersyon ng EvilExtractor na ginamit sa mga pag-atake na ito ang kabuuang pitong natatanging module. Ang bawat module ay may pananagutan para sa isang partikular na function, tulad ng pagsuri ng petsa at oras, anti-sandbox, anti-VM, anti-scanner, setting ng FTP server, pagnanakaw ng data, pag-upload ng data, pag-clear ng log, at kahit isa na may mga kakayahan sa ransomware.
Maaaring Exfiltrate ng EvilExtractor Malware ang Sensitibong Data o Kumilos bilang Ransomware
Ang malware ng EvilExtractor ay naglalaman ng module sa pagnanakaw ng data na nagda-download ng tatlong karagdagang bahagi ng Python na pinangalanang 'KK2023.zip,' 'Confirm.zip,' at 'MnMs.zip.'
Kinukuha ng unang bahagi ang cookies mula sa mga sikat na browser gaya ng Google Chrome, Microsoft Edge, Opera, at Firefox. Bukod pa rito, kinokolekta nito ang kasaysayan ng pagba-browse at naka-save na mga password mula sa isang malawak na hanay ng mga programa.
Ang pangalawang bahagi ay gumaganap bilang isang keylogger, nagre-record ng mga input ng keyboard ng biktima at nagse-save ng mga ito sa isang lokal na folder na kukunin sa ibang pagkakataon.
Ang ikatlong bahagi ay isang webcam extractor na maaaring tahimik na i-activate ang webcam, kumuha ng video o mga larawan, at i-upload ang mga ito sa FTP server ng attacker, na inuupahan ng Kodex.
Nagnanakaw din ang malware ng mga file ng dokumento at media mula sa mga folder ng Desktop at Downloads ng biktima, kumukuha ng mga arbitrary na screenshot, at i-exfiltrate ang lahat ng nakolektang data sa mga operator nito.
Ang ransomware module ng malware ay naka-nest sa loob ng loader at, kapag na-activate, nagda-download ng karagdagang file na pinangalanang 'zzyy.zip' mula sa website ng produkto. Ito ay isang tool sa pag-lock ng file na gumagamit ng 7-Zip app upang lumikha ng archive na protektado ng password na naglalaman ng mga file ng biktima, na epektibong pumipigil sa pag-access sa kanila nang walang password.
