Исследователи отмечают рост числа атак, распространяющих инструмент для кражи данных EvilExtractor, используемый для кражи конфиденциальных данных пользователей в Европе и США.
EvilExtractor продается компанией Kodex за 59 долларов в месяц и включает в себя семь атакующих модулей, включая программы-вымогатели, извлечение учетных данных и Обход Защитника Windows.
Несмотря на то, что BleepingComputer позиционируется как законный инструмент, ему сказали, что EvilExtractor в первую очередь рекламируется на хакерских форумах для злоумышленников.
«Recorded Future впервые заметила, что Evil Extractor продается на форумах Cracked and Nulled в октябре 2022 года». Аллан Лискааналитик по анализу угроз в Recorded Future, сказал BleepingComputer.
Другие исследователи безопасности также следили за разработкой и вредоносными атаками с помощью Evil Extractor. делятся своими выводами в Твиттере с февраля 2022 года.
Фортинет отчеты что киберпреступники используют EvilExtractor в качестве вредоносного ПО для кражи информации.
Основываясь на статистике атак, собранной компанией по кибербезопасности, в марте 2023 года резко возросло развертывание EvilExtractor, при этом большинство заражений произошло в результате связанной фишинговой кампании.
Распространение фишинговых атак
Fortinet сообщает, что атаки, которые они наблюдали, начались с фишингового электронного письма, замаскированного под запрос на подтверждение учетной записи, с исполняемым вложением, сжатым gzip. Этот исполняемый файл выглядит как законный файл PDF или Dropbox, но на самом деле это исполняемая программа Python.
Когда цель открывает файл, выполняется файл PyInstaller и запускает загрузчик .NET, который использует сценарий PowerShell в кодировке base64 для запуска исполняемого файла EvilExtractor.
При первом запуске вредоносная программа проверит системное время и имя хоста, чтобы определить, работает ли она в виртуальной среде или в тестовой песочнице, и в этом случае она выйдет.
Версия EvilExtractor, используемая в этих атаках, включает следующие модули:
- Проверка даты и времени
- Анти-песочница
- Анти-ВМ
- Антисканер
- Настройка FTP-сервера
- Украсть данные
- Загрузить украденные данные
- Очистить журнал
- Программы-вымогатели
Модуль кражи данных EvilExtractor загрузит три дополнительных компонента Python с именами «KK2023.zip», «Confirm.zip» и «MnMs.zip».
Первая программа извлекает файлы cookie из Google Chrome, Microsoft Edge, Opera и Firefox, а также собирает историю посещенных страниц и сохраненные пароли из еще более обширного набора программ.
Второй модуль представляет собой кейлоггер, который записывает действия жертвы с клавиатуры и сохраняет их в локальной папке для последующего извлечения.
Третий файл — это экстрактор веб-камеры, то есть он может тайно активировать веб-камеру, захватывать видео или изображения и загружать файлы на FTP-сервер злоумышленника, который арендует Kodex.
Вредонос также извлекает многие типы документов и мультимедийных файлов из папок «Рабочий стол» и «Загрузки», делает снимки экрана и отправляет все украденные данные своим операторам.
Модуль «Kodex ransomware» вложен в загрузчик и, если он активирован, загружает дополнительный файл («zzyy.zip») с веб-сайта продукта.
Это простой, но эффективный инструмент для блокировки файлов, который использует 7-Zip для создания защищенного паролем архива, содержащего файлы жертвы, эффективно предотвращая доступ к ним без пароля.
Fortinet предупреждает, что разработчик EvilExtractor, Kodex, добавил несколько функций в этот инструмент с момента его первоначального выпуска в октябре 2022 года и продолжает обновлять его, чтобы сделать его более мощным и стабильным.
Неожиданные обнаружения указывают на то, что EvilExtractor набирает обороты в сообществе киберпреступников, поэтому пользователям рекомендуется сохранять бдительность в отношении нежелательных электронных писем.
2023-04-22 15:14:28
1682183171
#Активность #вредоносного #ПО #EvilExtractor #резко #возросла #Европе #США