Ερευνητές ασφαλείας παρατηρούν μια απότομη αύξηση σε επιθέσεις που χρησιμοποιούν ένα malware κλοπής δεδομένων με το όνομα EvilExtractor. Το EvilExtractor χρησιμοποιείται αυτή τη στιγμή για την κλοπή ευαίσθητων δεδομένων τόσο στην Ευρώπη όσο και τις Η.Π.Α.
Το malware πωλείται από μια εταιρεία που ονομάζεται Kodex, για 59 $/μήνα. Διαθέτει επτά attack modules, συμπεριλαμβανομένων ransomware modules, modules κλοπής credentials και παράκαμψης του Windows Defender.
Παρόλο που το EvilExtractor είναι διαθέσιμο στην αγορά ως νόμιμο εργαλείο, το BleepingComputer ενημερώθηκε ότι προωθείται κυρίως σε hacking φόρουμ προκειμένου να χρησιμοποιηθεί από φορείς απειλών.
Δείτε επίσης: Hackers παραβιάζουν δίκτυα χρησιμοποιώντας δεδομένα σε εταιρικά routers
“Η Recorded Future παρατήρησε για πρώτη φορά το Evil Extractor να πωλείται στα φόρουμ Cracked και Nulled τον Οκτώβριο του 2022“, είπε στο BleepingComputer ο Allan Liska, αναλυτής πληροφοριών απειλών της Recorded Future.
Άλλοι αναλυτές ασφαλείας παρακολουθούν, επίσης, τις επιθέσεις που σχετίζονται με το Evil Extractor, και δημοσιεύουν τα ευρήματά τους στο Twitter ήδη από τον Φεβρουάριο του 2022.
Σύμφωνα με την Fortinet, πολλοί εγκληματίες στον κυβερνοχώρο χρησιμοποιούν το EvilExtractor malware για να κλέψουν πληροφορίες.
Από τα στατιστικά στοιχεία επιθέσεων που συλλέχθηκαν από την εταιρεία κυβερνοασφάλειας, προκύπτει ότι η ανάπτυξη του EvilExtractor αυξήθηκε τον Μάρτιο του 2023 και οι περισσότερες μολύνσεις ξεκίνησαν μέσω phishing μηνυμάτων.
Phishing επιθέσεις
Η Fortinet αναφέρει ότι οι επιθέσεις ξεκίνησαν με ένα phishing email που παρουσιάζεται ως αίτημα επιβεβαίωσης λογαριασμού και περιέχει ένα συνημμένο αρχείο που είχε συμπιεστεί με gzip και εμφανιζόταν ως ένα νόμιμο αρχείο PDF ή Dropbox. Στην πραγματικότητα, το συνημμένο αρχείο είναι ένα εκτελέσιμο πρόγραμμα Python.
Όταν ο στόχος ανοίγει το αρχείο, εκτελείται ένα αρχείο PyInstaller. Στη συνέχεια, ξεκινά ένα πρόγραμμα loader .NET που χρησιμοποιεί ένα PowerShell script με κωδικοποίηση base64 για την εκκίνηση του εκτελέσιμου αρχείου EvilExtractor.
Κατά την πρώτη εκκίνηση, το κακόβουλο λογισμικό θα ελέγξει το system time και το hostname για να εντοπίσει εάν εκτελείται σε εικονικό περιβάλλον ή σε περιβάλλον δοκιμών sandbox. Σε αυτή την περίπτωση, δεν θα συνεχίσει την κακόβουλη δραστηριότητά του.
Δείτε επίσης: Bumblebee malware: Διανέμεται μέσω Google Ads και χρησιμοποιείται για επιθέσεις ransomware
Η έκδοση EvilExtractor που αναπτύσσεται στις επιθέσεις που εντοπίστηκαν, διαθέτει τα ακόλουθα κακόβουλα modules:
- Έλεγχος ώρας / ημερομηνίας
- Anti-Sandbox
- Anti-VM
- Anti-Scanner
- FTP server setting
- Κλοπή δεδομένων
- Μεταφόρτωση κλεμμένων δεδομένων
- Εκκαθάριση αρχείου καταγραφής
- Ransomware
Το module κλοπής δεδομένων του EvilExtractor malware θα πραγματοποιήσει λήψη τριών πρόσθετων Python components με τα ονόματα “KK2023.zip”, “Confirm.zip” και “MnMs.zip”.
Το πρώτο πρόγραμμα εξάγει cookies από το Google Chrome, τον Microsoft Edge, τον Opera και τον Firefox και επίσης συλλέγει ιστορικό περιήγησης και αποθηκευμένους κωδικούς πρόσβασης από ακόμα περισσότερα προγράμματα.
Το δεύτερο module είναι ένα πρόγραμμα καταγραφής πλήκτρων, δηλαδή ένα keylogger. Αποθηκεύει τις πληκτρολογήσεις του θύματος σε ένα τοπικό φάκελο για να μπορούν να εξαχθούν αργότερα.
Το τρίτο αρχείο είναι ένα πρόγραμμα webcam extractor, που σημαίνει ότι μπορεί να ενεργοποιήσει κρυφά την κάμερα web, να τραβήξει βίντεο ή εικόνες και να ανεβάσει τα αρχεία στον διακομιστή FTP του εισβολέα, τον οποίο νοικιάζει η Kodex.
Αξίζει, επίσης, να σημειωθεί ότι το κακόβουλο λογισμικό κλέβει πολλούς τύπους αρχείων, εγγράφων και πολυμέσων από τους φακέλους Desktop και Downloads, τραβά screenshots και στέλνει όλα τα κλεμμένα δεδομένα στους χειριστές του.
Δείτε επίσης: Η επίθεση ransomware στην NCR διέκοψε την λειτουργία πολλών συστημάτων POS
Η ενότητα “Kodex ransomware” είναι ένθετη στο πρόγραμμα φόρτωσης και, εάν ενεργοποιηθεί, πραγματοποιεί λήψη ενός επιπλέον αρχείου («zzyy.zip») από τον ιστότοπο του προϊόντος. Πρόκειται για ένα απλό αλλά αποτελεσματικό εργαλείο κλειδώματος αρχείων που καταχράται το πρόγραμμα 7-Zip για να δημιουργήσει ένα αρχείο προστατευμένο με κωδικό πρόσβασης, που περιέχει τα αρχεία του θύματος. Με αυτόν τον τρόπο, αποτρέπει την πρόσβαση σε αυτά αν δεν έχει κάποιος τον κωδικό πρόσβασης.
Η Fortinet προειδοποιεί ότι η Kodex, ο προγραμματιστής του EvilExtractor malware, έχει προσθέσει αρκετές νέες δυνατότητες στο εργαλείο από την αρχική του κυκλοφορία τον Οκτώβριο του 2022.
Οι ανιχνεύσεις δείχνουν ότι το EvilExtractor malware γίνεται όλο και πιο δημοφιλές μεταξύ των εγκληματιών του κυβερνοχώρου και τα θύματα βρίσκονται τόσο στην Ευρώπη όσο και στις ΗΠΑ. Επομένως, μιλάμε για μια νέα σημαντική απειλή και οι χρήστες πρέπει να παραμείνουν σε επαγρύπνηση για να παραμείνουν προστατευμένοι.
Τα malware κλοπής δεδομένων είναι μια πραγματική απειλή που μπορεί να προκαλέσει ανεπανόρθωτη ζημιά. Ακολουθώντας βασικές πρακτικές ασφαλείας και παραμένοντας σε εγρήγορση, μπορείτε να προστατευθείτε από τις επιθέσεις και να διασφαλίσετε ότι τα προσωπικά σας στοιχεία παραμένουν ασφαλή. Να θυμάστε ότι η πρόληψη είναι πάντα καλύτερη από τη θεραπεία, γι’ αυτό λάβετε τα απαραίτητα μέτρα για να προστατευθείτε πριν να είναι πολύ αργά.
Πηγή: www.bleepingcomputer.com