Evil Extractor, Datenstehlwerkzeug verursacht Chaos in den USA und Europa

Forscher von mehreren Sicherheitsfirmen berichten von einem Anstieg von Datenstehlwerkzeugen in den USA und Europa, wie dem Evil Extractor, der verwendet wird, um sensible Daten von Nutzern zu stehlen. Diese Angriffe wurden erstmals von Recorded Future entdeckt.

Das Datenstehlwerkzeug wurde von einer Firma namens Kodex für 59 $/Monat verkauft und der EvilExtractor verfügt über sieben Angriffsmodulen, darunter Credential Steelers, Ransomware und Windows-Umgehung.

Laut dem Bedrohungsanalysten von Recorded Future, Allan Liska, wurde das Datenstehlwerkzeug im Oktober letzten Jahres in Nulled & Cracked-Foren verkauft. Während es als authentisches Werkzeug gekennzeichnet ist, wird es dann an Bedrohungsakteure in den Hacking-Foren beworben.

Mehrere andere Sicherheitsforscher und -firmen haben ebenfalls das Wachstum und die bösartigen Angriffe des Datenstehlwerkzeugs beobachtet und teilen seit Februar 2023 ihre Erkenntnisse auf Twitter.

Die Sicherheitsfirma Fortinet erwähnt, dass der Hacktivist den EvilExtractor als Informationsdiebstahl-Malware verwendet, und laut den von der Cybersicherheitsfirma gesammelten Daten hat das Wachstum des Evil Extractor seit März 2023 zugenommen, wobei die Mehrheit von Phishing-Aktivitäten stammt.

Lesen: Phishing-Betrügereien zielen auf US-Steuerzahler mit Fernzugriffs-Malware ab

Das Cybersicherheitsunternehmen Fortinet erwähnt, dass die beobachteten Angriffe mit einer Phishing-E-Mail begannen, die eine Kontobestätigungsanfrage nachahmte und einen gzip-komprimierten ausführbaren Anhang enthielt.

Der ausführbare Anhang wurde erstellt, um wie ein authentisches PDF oder eine Dropbox-Datei auszusehen, aber in Wirklichkeit handelt es sich um ein Python-executables Programm.

Wenn das Ziel die Dateien öffnet, wird eine Python-Datei ausgeführt und ein NET-Loader gestartet, der ein base64-kodiertes PowerShell-Skript verwendet, um ein EvilExtractor-executables zu starten.

Beim ersten Start überprüft die Malware die Systemzeit und den Hostnamen, um festzustellen, ob das System in einer virtuellen Umgebung oder einer Analyse-Sandbox läuft; falls dies der Fall ist, wird sie beendet.

Dies sind die folgenden Module, die in diesen Angriffen enthalten sind.

• Überprüft Datum & Uhrzeit

• Anti-Sandbox

• Anti-VM

• Anti-Scanner

• FPT-Servereinstellungen

• Daten stehlen

• Gestohlene Daten hochladen

• Protokoll löschen

• Ransomware

Das Datenstehlmodul EvilExtractor lädt drei weitere Python-Komponenten namens “KK2023.zip”, “Confirm.zip” und “MnMs.zip” herunter. Das erste Programm extrahiert Cookies aus Google Chrome, Opera, Firefox und Microsoft Edge und sammelt auch den Browserverlauf und gespeicherte Passwörter aus einer großen Anzahl von Programmen.

Darüber hinaus ist das zweite Modul ein Keylogger, der die Tastatureingaben des Ziels aufzeichnet und sie in einem lokalen Ordner speichert, um exfiltriert zu werden; das dritte ist der Webcam-Extractor, was bedeutet, dass die Extraktoren heimlich die Webcam einschalten. Sie erfassen ein Video oder ein Bild und laden die Dateien auf den Server des Angreifers hoch, den Kodec mietet.

Nicht nur das, sondern die Malware extrahiert auch verschiedene Arten von Dokumenten und Dateien aus den Desktop- und Downloads-Ordnern, erfasst Screenshots und sendet alle Daten an ihren Betreiber.

Das Kodex-Ransomware-Modul wird im Loader aufbewahrt und lädt, wenn es aktiviert wird, die zusätzliche Datei (“zzyy.zip”) von den Produktwebseiten herunter.

Es ist ein einfaches und erfolgreiches Werkzeug, das 7-Zip verwendet, um ein Passwort zu erstellen, ohne dass das Archiv die Dateien des Opfers enthält, was effektiv den Zugriff auf sie ohne das Passwort verhindert.

Laut Fortinet, dem Entwickler von EvilExtractor, hat Kodex seit der ursprünglichen Einführung im Oktober 2022 viele Funktionen zu dem Datenstehlwerkzeug hinzugefügt. Es werden auch weiterhin Änderungen vorgenommen, um es stabiler zu machen.

Lesen: Checkpoint-Sicherheitsforscher entdecken schnelle Ransomware ‘Rorschach’ mit einzigartigen Funktionen