Extractor Maligno, Herramienta de Robo de Datos que Causa Estragos en EE. UU. y Europa

Investigadores de varias empresas de seguridad han estado informando sobre un aumento en las herramientas de robo de datos en EE. UU. y Europa, como Extractor Maligno, utilizadas para robar datos sensibles de los usuarios. Bueno, estos ataques fueron detectados por primera vez por Recorded Future.

La herramienta de robo de datos fue vendida por una empresa llamada Kodex por $59/mes, y el EvilExtractor cuenta con siete módulos de ataque, incluyendo Robadores de Credenciales, ransomware y eludir Windows.

Según el analista de inteligencia de amenazas de Recorded Future, Allan Liska, la herramienta de robo de datos se estaba vendiendo en foros Nulled & Cracked en octubre del año pasado. Mientras se marca como una herramienta auténtica, luego se promueve a actores de amenazas en los foros de hacking.

Varios otros investigadores y empresas de seguridad también han estado observando el crecimiento y los ataques maliciosos de la herramienta de robo de datos y han estado compartiendo sus hallazgos en Twitter desde febrero de 2023.

La empresa de seguridad Fortinet menciona que el hacktivista utiliza el EvilExtractor como el malware que roba información, y según los datos recopilados por la empresa de ciberseguridad, el crecimiento del info Evil Extractor ha visto un aumento desde marzo de 2023, siendo la mayoría de ellos provenientes de actividades de phishing.

Leer: Estafas de Phishing que Apuntan a Contribuyentes de EE. UU. con Malware de Acceso Remoto

La empresa de ciberseguridad Fortinet menciona que los ataques que observaron comenzaron con un correo electrónico de phishing que impersonaba una solicitud de confirmación de cuenta, conteniendo un archivo ejecutable adjunto comprimido en gzip.

El archivo ejecutable está creado para parecer un PDF auténtico o un archivo de Dropbox, pero, por supuesto, en realidad, es un programa ejecutable de Python.

Ahora, cuando el objetivo abre los archivos, se ejecuta un archivo de Python y lanza un cargador NET que utiliza un script de PowerShell codificado en base64 para iniciar un ejecutable de EvilExtractor.

En el inicio inicial, el malware verifica la hora del sistema y el nombre del host para determinar si el sistema está funcionando en un entorno virtual o en un sandbox de análisis; si ese es el caso, saldrá.

Estos son los siguientes módulos que se presentan en estos ataques.

• Verifica Fecha y Hora

• Anti-Sandbox

• Anti VM

• Anti-Scanner

• Configuración de servidor FPT

• Robar datos

• Subir Datos Robados

• Limpiar Registro

• Ransomware

El módulo de robo de datos de EvilExtractor descarga tres componentes adicionales de Python llamados “KK2023.zip”, “Confirm.zip” y “MnMs.zip”. El primer programa extrae cookies de Google Chrome, Opera, Firefox y Microsoft Edge y también recopila el historial de navegación y las contraseñas guardadas de un gran conjunto de programas.

Además, el segundo módulo es un keylogger, que registra las entradas del teclado del objetivo y las guarda en una carpeta local para ser exfiltradas; el tercero es el extractor de webcam, lo que significa que los extractores encienden secretamente la webcam. Capturan un video o una imagen y suben los archivos al servidor del atacante que alquila Kodec.

No solo esto, sino que el malware también extrae varios tipos de documentos y archivos de las carpetas de Escritorio y Descargas, captura capturas de pantalla y envía todos los datos a su operador.

El módulo de ransomware de Kodex se mantiene en el cargador y, si se activa, se descarga como el archivo adicional (“zzyy.zip”) de los sitios web del producto.

Es una herramienta de archivo simple y exitosa que utiliza 7-Zip para crear una contraseña sin que el archivo comprimido contenga los archivos de la víctima, evitando efectivamente el acceso a ellos sin la contraseña.

Según Fortinet, desarrollador de EvilExactrator, Kodex ha agregado muchas características a la herramienta de robo de datos desde su lanzamiento inicial en octubre de 2022. También sigue haciendo cambios para que sea más estable.

Leer: Investigadores de Seguridad de Checkpoint Descubren Ransomware Rápido ‘Rorschach’ con Características Únicas