Зловреден софтуер EvilExtractor

Според доклади за киберсигурност, напоследък се наблюдава увеличение на атаките, използващи инструмент за кражба на данни, известен като EvilExtractor или Evil Extractor. Този инструмент е предназначен да краде чувствителни потребителски данни и се използва както в Европа, така и в САЩ. Инструментът EvilExtractor се продава от компания на име Kodex за $59 на месец. Инструментът има седем различни модула за атака, включително ransomware, извличане на идентификационни данни и заобикаляне на Windows Defender. Въпреки че Kodex предлага на пазара EvilExtractor като легитимен инструмент, доказателствата сочат, че той се популяризира предимно сред киберпрестъпниците в хакерски форуми.

Киберпрестъпниците внедряват EvilExtractor като злонамерен софтуер за кражба на информация в дивата природа. Според доклад, публикуван от компания за киберсигурност, атаките, използващи EvilExtractor, са се увеличили от началото на 2023 г. Актьорите на заплахите са създали свързана фишинг кампания като начин за заразяване на цели.

EvilExtractor се доставя чрез фишинг имейли

Атаките на EvilExtractor започват с фишинг имейл, който е проектиран да се показва като заявка за потвърждение на акаунт. Имейлът съдържаше компресиран изпълним прикачен файл, маскиран като легитимен PDF или Dropbox файл. При отваряне на прикачения файл обаче беше стартирана изпълнима програма на Python.

Тази програма използва PyInstaller файл, за да изпълни .NET loader, който от своя страна активира base64-кодиран PowerShell скрипт, за да стартира изпълнимия файл на EvilExtractor. При стартиране злонамереният софтуер проверява името на хоста на нарушената система и времето, за да установи дали се изпълнява във виртуална среда или пясъчник за анализ. Ако открие такава среда, заплахата от злонамерен софтуер прекратява изпълнението си.

Версията на EvilExtractor, използвана при тези атаки, включва общо седем отделни модула. Всеки модул е отговорен за специфична функция, като проверка на дата и час, анти-пясъчна среда, анти-VM, анти-скенер, настройка на FTP сървър, кражба на данни, качване на данни, изчистване на регистрационни файлове и дори такъв с възможности за рансъмуер.

Злонамереният софтуер EvilExtractor може да ексфилтрира чувствителни данни или да действа като рансъмуер

Зловредният софтуер EvilExtractor съдържа модул за кражба на данни, който изтегля три допълнителни компонента на Python, наречени „KK2023.zip“, „Confirm.zip“ и „MnMs.zip“.

Първият компонент извлича бисквитки от популярни браузъри като Google Chrome, Microsoft Edge, Opera и Firefox. Освен това, той събира хронология на сърфирането и запазени пароли от обширен набор от програми.

Вторият компонент функционира като кийлогър, като записва въвеждането на клавиатурата на жертвата и ги записва в локална папка, за да бъде извлечена по-късно.

Третият компонент е екстрактор на уеб камера, който може тихо да активира уеб камерата, да заснеме видео или изображения и да ги качи на FTP сървъра на нападателя, който е нает от Kodex.

Зловреден софтуер също така краде документи и медийни файлове от папките Desktop и Downloads на жертвата, заснема произволни екранни снимки и ексфилтрира всички събрани данни на своите оператори.

Модулът за рансъмуер на зловреден софтуер е вложен в товарачното устройство и, когато се активира, изтегля допълнителен файл с име „zzyy.zip“ от уебсайта на продукта. Това е инструмент за заключване на файлове, който използва приложението 7-Zip, за да създаде защитен с парола архив, съдържащ файловете на жертвата, като ефективно предотвратява достъпа до тях без паролата.