EvilExtractor 惡意軟件

根據網絡安全報告，最近使用稱為 EvilExtractor 或 Evil Extractor 的數據竊取工具的攻擊有所增加。該工具旨在竊取敏感用戶數據，在歐洲和美國均有使用 EvilExtractor 工具由一家名為 Kodex 的公司以每月 59 美元的價格出售。該工具有七種不同的攻擊模塊，包括勒索軟件、憑證提取和 Windows Defender 繞過。雖然 Kodex 將 EvilExtractor 作為合法工具進行營銷，但有證據表明它主要是在黑客論壇上被推廣給網絡犯罪分子的。

網絡犯罪分子正在將 EvilExtractor 作為一種信息竊取惡意軟件在野外部署。根據一家網絡安全公司發布的一份報告，自 2023 年初以來，使用 EvilExtractor 的攻擊激增。威脅行為者已經建立了一個鏈接的網絡釣魚活動，作為感染目標的一種方式。

EvilExtractor 是通過釣魚郵件傳播的

EvilExtractor 攻擊從一封旨在顯示為帳戶確認請求的網絡釣魚電子郵件開始。該電子郵件包含一個壓縮的可執行附件，偽裝成合法的 PDF 或 Dropbox 文件。但是，打開附件後，啟動了一個 Python 可執行程序。

該程序使用 PyInstaller 文件來執行 .NET 加載程序，後者會激活 base64 編碼的 PowerShell 腳本以啟動 EvilExtractor 可執行文件。啟動後，惡意軟件會檢查被破壞系統的主機名和時間，以檢測它是否在虛擬環境或分析沙箱中運行。如果它檢測到這樣的環境，惡意軟件威脅將終止其執行。

這些攻擊中使用的 EvilExtractor 版本包括總共七個不同的模塊。每個模塊負責特定的功能，例如日期和時間檢查、防沙箱、防虛擬機、防掃描器、FTP 服務器設置、數據竊取、數據上傳、日誌清除，甚至具有勒索軟件功能。

EvilExtractor 惡意軟件可以洩露敏感數據或充當勒索軟件

EvilExtractor 惡意軟件包含一個數據竊取模塊，該模塊會下載三個名為“KK2023.zip”、“Confirm.zip”和“MnMs.zip”的額外 Python 組件。

第一個組件從 Google Chrome、Microsoft Edge、Opera 和 Firefox 等流行瀏覽器中提取 cookie。此外，它還會從大量程序中收集瀏覽歷史記錄和保存的密碼。

第二個組件用作鍵盤記錄器，記錄受害者的鍵盤輸入並將它們保存在本地文件夾中以備日後檢索。

第三個組件是一個網絡攝像頭提取器，它可以靜默激活網絡攝像頭，捕獲視頻或圖像，並將它們上傳到攻擊者的 FTP 服務器，該服務器由 Kodex 租用。

該惡意軟件還從受害者的桌面和下載文件夾中竊取文檔和媒體文件，捕獲任意屏幕截圖，並將所有收集到的數據洩露給其操作員。

該惡意軟件的勒索軟件模塊嵌套在加載程序中，激活後會從產品網站下載名為“zzyy.zip”的附加文件。它是一種文件鎖定工具，使用 7-Zip 應用程序創建包含受害者文件的受密碼保護的存檔，有效地防止在沒有密碼的情況下訪問它們。