EvilExtractor Kötü Amaçlı Yazılım

Siber güvenlik raporlarına göre, EvilExtractor veya Evil Extractor olarak bilinen bir veri hırsızlığı aracı kullanılarak yapılan saldırılarda son zamanlarda bir artış oldu. Bu araç, hassas kullanıcı verilerini çalmak için tasarlanmıştır ve hem Avrupa'da hem de ABD'de kullanılmaktadır. EvilExtractor aracı, Kodex adlı bir şirket tarafından ayda 59 dolara satılmaktadır. Araç, fidye yazılımı, kimlik bilgileri çıkarma ve Windows Defender atlama dahil olmak üzere yedi farklı saldırı modülüne sahiptir. Kodex, EvilExtractor'ı meşru bir araç olarak pazarlasa da kanıtlar, öncelikle bilgisayar korsanlığı forumlarında siber suçlulara tanıtıldığını gösteriyor.

Siber suçlular, EvilExtractor'ı vahşi ortamda bilgi çalan bir kötü amaçlı yazılım olarak kullanıyor. Bir siber güvenlik şirketi tarafından yayınlanan bir rapora göre, EvilExtractor kullanılarak yapılan saldırılar 2023'ün başından bu yana arttı. Tehdit aktörleri, hedefleri etkilemek için bağlantılı bir kimlik avı kampanyası oluşturdu.

EvilExtractor, Kimlik Avı E-postaları Yoluyla Teslim Edilir

EvilExtractor saldırıları, bir hesap doğrulama isteği olarak görünmek üzere tasarlanmış bir kimlik avı e-postasıyla başlar. E-posta, meşru bir PDF veya Dropbox dosyası kılığına girmiş, sıkıştırılmış, yürütülebilir bir ek içeriyordu. Ancak, eki açtıktan sonra bir Python yürütülebilir programı başlatıldı.

Bu program, bir .NET yükleyiciyi yürütmek için bir PyInstaller dosyası kullanır ve bu da, EvilExtractor yürütülebilir dosyasını başlatmak için base64 kodlu bir PowerShell betiğini etkinleştirir. Kötü amaçlı yazılım, başlatıldıktan sonra, sanal bir ortamda mı yoksa analiz sanal alanında mı çalıştırıldığını saptamak için ihlal edilen sistemin ana bilgisayar adını ve saatini kontrol eder. Böyle bir ortam tespit ederse, kötü amaçlı yazılım tehdidi yürütmesini sonlandırır.

Bu saldırılarda kullanılan EvilExtractor sürümü toplam yedi farklı modül içermektedir. Her modül, tarih ve saat kontrolü, korumalı alan önleme, sanal makine önleme, tarayıcı önleme, FTP sunucusu ayarı, veri çalma, veri yükleme, günlük temizleme ve hatta fidye yazılımı özelliklerine sahip bir modül gibi belirli bir işlevden sorumludur.

EvilExtractor Kötü Amaçlı Yazılımı, Hassas Verileri Sızdırabilir veya Fidye Yazılımı Gibi Davranabilir

EvilExtractor kötü amaçlı yazılımı, 'KK2023.zip', 'Confirm.zip' ve 'MnMs.zip' adlı üç ek Python bileşenini indiren bir veri çalma modülü içerir.

İlk bileşen, çerezleri Google Chrome, Microsoft Edge, Opera ve Firefox gibi popüler tarayıcılardan ayıklar. Ek olarak, kapsamlı bir program grubundan göz atma geçmişini ve kaydedilmiş şifreleri toplar.

İkinci bileşen, kurbanın klavye girişlerini kaydeden ve daha sonra geri alınmak üzere yerel bir klasöre kaydeden bir keylogger işlevi görür.

Üçüncü bileşen, web kamerasını sessizce etkinleştirebilen, video veya resim yakalayabilen ve bunları saldırganın Kodex tarafından kiralanan FTP sunucusuna yükleyebilen bir web kamerası çıkarıcıdır.

Kötü amaçlı yazılım ayrıca kurbanın Masaüstü ve İndirilenler klasörlerinden belge ve medya dosyalarını çalar, rastgele ekran görüntüleri yakalar ve toplanan tüm verileri operatörlerine sızdırır.

Kötü amaçlı yazılımın fidye yazılımı modülü, yükleyicinin içine yerleştirilmiştir ve etkinleştirildiğinde, ürünün web sitesinden 'zzyy.zip' adlı ek bir dosya indirir. Kurbanın dosyalarını içeren parola korumalı bir arşiv oluşturmak için 7-Zip uygulamasını kullanan ve bu dosyalara parola olmadan erişimi etkili bir şekilde engelleyen bir dosya kilitleme aracıdır.