Шкідлива програма EvilExtractor

Згідно зі звітами про кібербезпеку, останнім часом спостерігається збільшення кількості атак з використанням інструменту крадіжки даних, відомого як EvilExtractor або Evil Extractor. Цей інструмент призначений для викрадення конфіденційних даних користувачів і використовується в Європі та США. Інструмент EvilExtractor продається компанією під назвою Kodex за 59 доларів на місяць. Інструмент має сім різних модулів атак, включаючи програми-вимагачі, витяг облікових даних і обхід Windows Defender. Незважаючи на те, що Kodex продає EvilExtractor як законний інструмент, дані свідчать про те, що він рекламується переважно кіберзлочинцям на хакерських форумах.

Кіберзлочинці розгортають EvilExtractor як зловмисне програмне забезпечення для крадіжки інформації. Відповідно до звіту, опублікованого компанією з кібербезпеки, атаки з використанням EvilExtractor різко зросли з початку 2023 року. Зловмисники створили пов’язану фішингову кампанію як спосіб зараження цілей.

EvilExtractor доставляється через фішингові електронні листи

Атаки EvilExtractor починаються з фішингового електронного листа, який відображатиметься як запит на підтвердження облікового запису. Електронний лист містив стиснений виконуваний вкладений файл, замаскований під справжній файл PDF або Dropbox. Однак після відкриття вкладення було запущено виконувану програму Python.

Ця програма використовує файл PyInstaller для виконання завантажувача .NET, який, у свою чергу, активує сценарій PowerShell у кодуванні base64 для запуску виконуваного файлу EvilExtractor. Після запуску зловмисне програмне забезпечення перевіряє ім’я хоста та час зламаної системи, щоб визначити, чи працює воно у віртуальному середовищі чи пісочниці аналізу. Якщо воно виявляє таке середовище, загроза зловмисного програмного забезпечення припиняє своє виконання.

Версія EvilExtractor, яка використовується в цих атаках, містить загалом сім окремих модулів. Кожен модуль відповідає за певну функцію, наприклад перевірку дати й часу, захист від пісочниці, захист від віртуальної машини, захист від сканування, налаштування FTP-сервера, викрадення даних, завантаження даних, очищення журналів і навіть модуль із можливостями програм-вимагачів.

Зловмисне програмне забезпечення EvilExtractor може викрадати конфіденційні дані або діяти як програмне забезпечення-вимагач

Зловмисне програмне забезпечення EvilExtractor містить модуль крадіжки даних, який завантажує три додаткові компоненти Python під назвою «KK2023.zip», «Confirm.zip» і «MnMs.zip».

Перший компонент витягує файли cookie з популярних браузерів, таких як Google Chrome, Microsoft Edge, Opera і Firefox. Крім того, він збирає історію веб-перегляду та збережені паролі від великого набору програм.

Другий компонент функціонує як кейлоггер, записуючи введення жертвою з клавіатури та зберігаючи їх у локальній папці, щоб отримати їх пізніше.

Третім компонентом є екстрактор веб-камери, який може тихо активувати веб-камеру, знімати відео або зображення та завантажувати їх на FTP-сервер зловмисника, який орендує Kodex.

Зловмисне програмне забезпечення також викрадає документи та мультимедійні файли з робочого столу жертви та папок завантажень, робить довільні знімки екрана та передає всі зібрані дані своїм операторам.

Модуль програми-вимагача зловмисного програмного забезпечення вкладено в завантажувач і після активації завантажує додатковий файл під назвою «zzyy.zip» із веб-сайту продукту. Це інструмент блокування файлів, який використовує програму 7-Zip для створення захищеного паролем архіву, що містить файли жертви, ефективно запобігаючи доступу до них без пароля.