Активность вредоносного ПО EvilExtractor резко возросла в Европе и США

Исследователи отмечают рост числа атак, распространяющих инструмент для кражи данных EvilExtractor, используемый для кражи конфиденциальных данных пользователей в Европе и США.

EvilExtractor продается компанией Kodex за 59 долларов в месяц и включает в себя семь атакующих модулей, включая программы-вымогатели, извлечение учетных данных и Обход Защитника Windows.

Несмотря на то, что BleepingComputer позиционируется как законный инструмент, ему сказали, что EvilExtractor в первую очередь рекламируется на хакерских форумах для злоумышленников.

«Recorded Future впервые заметила, что Evil Extractor продается на форумах Cracked and Nulled в октябре 2022 года». Аллан Лискааналитик по анализу угроз в Recorded Future, сказал BleepingComputer.

Другие исследователи безопасности также следили за разработкой и вредоносными атаками с помощью Evil Extractor. делятся своими выводами в Твиттере с февраля 2022 года.

Фортинет отчеты что киберпреступники используют EvilExtractor в качестве вредоносного ПО для кражи информации.

Основываясь на статистике атак, собранной компанией по кибербезопасности, в марте 2023 года резко возросло развертывание EvilExtractor, при этом большинство заражений произошло в результате связанной фишинговой кампании.

Распространение фишинговых атак

Fortinet сообщает, что атаки, которые они наблюдали, начались с фишингового электронного письма, замаскированного под запрос на подтверждение учетной записи, с исполняемым вложением, сжатым gzip. Этот исполняемый файл выглядит как законный файл PDF или Dropbox, но на самом деле это исполняемая программа Python.

Когда цель открывает файл, выполняется файл PyInstaller и запускает загрузчик .NET, который использует сценарий PowerShell в кодировке base64 для запуска исполняемого файла EvilExtractor.

При первом запуске вредоносная программа проверит системное время и имя хоста, чтобы определить, работает ли она в виртуальной среде или в тестовой песочнице, и в этом случае она выйдет.

Версия EvilExtractor, используемая в этих атаках, включает следующие модули:

• Проверка даты и времени
• Анти-песочница
• Анти-ВМ
• Антисканер
• Настройка FTP-сервера
• Украсть данные
• Загрузить украденные данные
• Очистить журнал
• Программы-вымогатели

Модуль кражи данных EvilExtractor загрузит три дополнительных компонента Python с именами «KK2023.zip», «Confirm.zip» и «MnMs.zip».

Первая программа извлекает файлы cookie из Google Chrome, Microsoft Edge, Opera и Firefox, а также собирает историю посещенных страниц и сохраненные пароли из еще более обширного набора программ.

Второй модуль представляет собой кейлоггер, который записывает действия жертвы с клавиатуры и сохраняет их в локальной папке для последующего извлечения.

Третий файл — это экстрактор веб-камеры, то есть он может тайно активировать веб-камеру, захватывать видео или изображения и загружать файлы на FTP-сервер злоумышленника, который арендует Kodex.

Вредонос также извлекает многие типы документов и мультимедийных файлов из папок «Рабочий стол» и «Загрузки», делает снимки экрана и отправляет все украденные данные своим операторам.

Модуль «Kodex ransomware» вложен в загрузчик и, если он активирован, загружает дополнительный файл («zzyy.zip») с веб-сайта продукта.

Это простой, но эффективный инструмент для блокировки файлов, который использует 7-Zip для создания защищенного паролем архива, содержащего файлы жертвы, эффективно предотвращая доступ к ним без пароля.

Fortinet предупреждает, что разработчик EvilExtractor, Kodex, добавил несколько функций в этот инструмент с момента его первоначального выпуска в октябре 2022 года и продолжает обновлять его, чтобы сделать его более мощным и стабильным.

Неожиданные обнаружения указывают на то, что EvilExtractor набирает обороты в сообществе киберпреступников, поэтому пользователям рекомендуется сохранять бдительность в отношении нежелательных электронных писем.