EvilExtractor 恶意软件

根据网络安全报告，最近使用称为 EvilExtractor 或 Evil Extractor 的数据窃取工具的攻击有所增加。该工具旨在窃取敏感用户数据，在欧洲和美国均有使用 EvilExtractor 工具由一家名为 Kodex 的公司以每月 59 美元的价格出售。该工具有七种不同的攻击模块，包括勒索软件、凭证提取和 Windows Defender 绕过。虽然 Kodex 将 EvilExtractor 作为合法工具进行营销，但有证据表明它主要是在黑客论坛上被推广给网络犯罪分子的。

网络犯罪分子正在将 EvilExtractor 作为一种信息窃取恶意软件在野外部署。根据一家网络安全公司发布的一份报告，自 2023 年初以来，使用 EvilExtractor 的攻击激增。威胁行为者已经建立了一个链接的网络钓鱼活动，作为感染目标的一种方式。

EvilExtractor 是通过钓鱼邮件传播的

EvilExtractor 攻击从一封旨在显示为帐户确认请求的网络钓鱼电子邮件开始。该电子邮件包含一个压缩的可执行附件，伪装成合法的 PDF 或 Dropbox 文件。但是，打开附件后，启动了一个 Python 可执行程序。

该程序使用 PyInstaller 文件来执行 .NET 加载程序，后者会激活 base64 编码的 PowerShell 脚本以启动 EvilExtractor 可执行文件。启动后，恶意软件会检查被破坏系统的主机名和时间，以检测它是否在虚拟环境或分析沙箱中运行。如果它检测到这样的环境，恶意软件威胁将终止其执行。

这些攻击中使用的 EvilExtractor 版本包括总共七个不同的模块。每个模块负责特定的功能，例如日期和时间检查、防沙箱、防虚拟机、防扫描器、FTP 服务器设置、数据窃取、数据上传、日志清除，甚至具有勒索软件功能。

EvilExtractor 恶意软件可以泄露敏感数据或充当勒索软件

EvilExtractor 恶意软件包含一个数据窃取模块，该模块会下载三个名为“KK2023.zip”、“Confirm.zip”和“MnMs.zip”的额外 Python 组件。

第一个组件从 Google Chrome、Microsoft Edge、Opera 和 Firefox 等流行浏览器中提取 cookie。此外，它还会从大量程序中收集浏览历史记录和保存的密码。

第二个组件用作键盘记录器，记录受害者的键盘输入并将它们保存在本地文件夹中以备日后检索。

第三个组件是一个网络摄像头提取器，它可以静默激活网络摄像头，捕获视频或图像，并将它们上传到攻击者的 FTP 服务器，该服务器由 Kodex 租用。

该恶意软件还从受害者的桌面和下载文件夹中窃取文档和媒体文件，捕获任意屏幕截图，并将所有收集到的数据泄露给其操作员。

该恶意软件的勒索软件模块嵌套在加载程序中，激活后会从产品网站下载名为“zzyy.zip”的附加文件。它是一种文件锁定工具，使用 7-Zip 应用程序创建包含受害者文件的受密码保护的存档，有效地防止在没有密码的情况下访问它们。