Phần mềm độc hại EvilExtractor
Theo báo cáo an ninh mạng, gần đây đã có sự gia tăng các cuộc tấn công sử dụng công cụ đánh cắp dữ liệu có tên là EvilExtractor hoặc Evil Extractor. Công cụ này được thiết kế để đánh cắp dữ liệu nhạy cảm của người dùng và đang được sử dụng ở cả Châu Âu và Hoa Kỳ. Công cụ EvilExtractor được bán bởi một công ty có tên Kodex với giá 59 USD mỗi tháng. Công cụ này có bảy mô-đun tấn công khác nhau, bao gồm ransomware, trích xuất thông tin xác thực và bỏ qua Windows Defender. Mặc dù Kodex tiếp thị EvilExtractor như một công cụ hợp pháp, bằng chứng cho thấy rằng nó chủ yếu được quảng cáo cho tội phạm mạng trên các diễn đàn hack.
Tội phạm mạng đang triển khai EvilExtractor như một phần mềm độc hại ăn cắp thông tin ngoài tự nhiên. Theo một báo cáo do một công ty an ninh mạng công bố, các cuộc tấn công sử dụng EvilExtractor đã gia tăng kể từ đầu năm 2023. Những kẻ đe dọa đã thiết lập một chiến dịch lừa đảo được liên kết như một cách để lây nhiễm các mục tiêu.
EvilExtractor được gửi qua email lừa đảo
Các cuộc tấn công EvilExtractor bắt đầu bằng một email lừa đảo được thiết kế để xuất hiện dưới dạng yêu cầu xác nhận tài khoản. Email chứa tệp đính kèm thực thi được nén, được ngụy trang dưới dạng tệp PDF hoặc Dropbox hợp pháp. Tuy nhiên, khi mở tệp đính kèm, một chương trình thực thi Python đã được khởi chạy.
Chương trình này sử dụng tệp PyInstaller để thực thi trình tải .NET, do đó, trình tải này sẽ kích hoạt tập lệnh PowerShell được mã hóa base64 để khởi chạy tệp thực thi EvilExtractor. Khi khởi chạy, phần mềm độc hại sẽ kiểm tra tên máy chủ và thời gian của hệ thống bị vi phạm để phát hiện xem nó đang được chạy trong môi trường ảo hay hộp cát phân tích. Nếu nó phát hiện ra một môi trường như vậy, mối đe dọa phần mềm độc hại sẽ chấm dứt quá trình thực thi của nó.
Phiên bản EvilExtractor được sử dụng trong các cuộc tấn công này bao gồm tổng cộng bảy mô-đun riêng biệt. Mỗi mô-đun chịu trách nhiệm cho một chức năng cụ thể, chẳng hạn như kiểm tra ngày giờ, chống hộp cát, chống VM, chống máy quét, cài đặt máy chủ FTP, đánh cắp dữ liệu, tải lên dữ liệu, xóa nhật ký và thậm chí một mô-đun có khả năng ransomware.
Phần mềm độc hại EvilExtractor có thể lọc dữ liệu nhạy cảm hoặc hoạt động như một phần mềm tống tiền
Phần mềm độc hại EvilExtractor chứa mô-đun đánh cắp dữ liệu tải xuống ba thành phần Python bổ sung có tên 'KK2023.zip,' 'Confirm.zip' và 'MnMs.zip.'
Thành phần đầu tiên trích xuất cookie từ các trình duyệt phổ biến như Google Chrome, Microsoft Edge, Opera và Firefox. Ngoài ra, nó thu thập lịch sử duyệt web và mật khẩu đã lưu từ một bộ chương trình phong phú.
Thành phần thứ hai hoạt động như một keylogger, ghi lại các thao tác nhập trên bàn phím của nạn nhân và lưu chúng vào một thư mục cục bộ để truy xuất sau này.
Thành phần thứ ba là trình trích xuất webcam có thể âm thầm kích hoạt webcam, quay video hoặc hình ảnh và tải chúng lên máy chủ FTP của kẻ tấn công do Kodex thuê.
Phần mềm độc hại cũng đánh cắp các tệp tài liệu và phương tiện từ các thư mục Máy tính để bàn và Tải xuống của nạn nhân, chụp ảnh chụp màn hình tùy ý và chuyển tất cả dữ liệu đã thu thập được cho người điều hành phần mềm.
Mô-đun ransomware của phần mềm độc hại được lồng trong trình tải và khi được kích hoạt, sẽ tải xuống một tệp bổ sung có tên 'zzyy.zip' từ trang web của sản phẩm. Nó là một công cụ khóa tệp sử dụng ứng dụng 7-Zip để tạo một kho lưu trữ được bảo vệ bằng mật khẩu chứa các tệp của nạn nhân, ngăn chặn hiệu quả việc truy cập chúng mà không cần mật khẩu.
