Evil Extractor, Outil de Vol de Données Causant des Ravages aux États-Unis et en Europe

Des chercheurs de plusieurs entreprises de sécurité ont signalé une augmentation des outils de vol de données aux États-Unis et en Europe, tels que Evil Extractor, utilisés pour voler les données sensibles des utilisateurs. Eh bien, ces attaques ont été d’abord repérées par Recorded Future.

L’outil de vol de données a été vendu par une entreprise appelée Kodex pour 59 $ par mois, et l’EvilExtractor dispose de sept modules d’attaque, y compris des voleurs d’identifiants, des ransomwares et un contournement de Windows.

Selon l’analyste en renseignement sur les menaces de Recorded Future, Allan Liska, l’outil de vol de données était vendu sur des forums Nulled & Cracked en octobre de l’année dernière. Bien qu’il soit marqué comme un outil authentique, il est ensuite promu aux acteurs de la menace sur les forums de hacking.

Plusieurs autres chercheurs et entreprises de sécurité ont également observé la croissance et les attaques malveillantes de l’outil de vol de données et ont partagé leurs découvertes sur Twitter depuis février 2023.

La société de sécurité Fortinet mentionne que le hacktiviste utilise l’EvilExtractor comme un logiciel malveillant de vol d’informations, et selon les données recueillies par la société de cybersécurité, la croissance de l’info Evil Extractor a connu une augmentation depuis mars 2023, la majorité d’entre elles provenant d’activités de phishing.

Lire: Arnaques de Phishing Ciblant les Contribuables Américains avec des Malwares d’Accès à Distance

La société de cybersécurité Fortinet mentionne que les attaques qu’ils ont observées ont commencé par un e-mail de phishing se faisant passer pour une demande de confirmation de compte, contenant une pièce jointe exécutable compressée en gzip.

La pièce jointe exécutable est créée pour donner l’apparence d’un PDF authentique ou d’un fichier Dropbox, mais bien sûr, en réalité, c’est un programme exécutable Python.

Maintenant, lorsque la cible ouvre les fichiers, un fichier Python est exécuté et lance un chargeur NET qui utilise un script PowerShell encodé en base64 pour démarrer un exécutable EvilExtractor.

Au démarrage initial, le logiciel malveillant vérifie l’heure système et le nom d’hôte pour déterminer si le système fonctionne dans un environnement virtuel ou un bac à sable d’analyse ; si tel est le cas, il sortira.

Voici les modules suivants qui sont présents dans ces attaques.

• Vérifie la Date & l’Heure

• Anti-Sandbox

• Anti VM

• Anti-Scanner

• Paramètre du serveur FPT

• Vol de données

• Téléchargement de données volées

• Effacer le Journal

• Ransomware

Le module de vol de données EvilExtractor télécharge trois autres composants Python nommés “KK2023.zip”, “Confirm.zip” et “MnMs.zip”. Le premier programme extrait les cookies de Google Chrome, Opera, Firefox et Microsoft Edge et collecte également l’historique de navigation et les mots de passe enregistrés d’un grand nombre de programmes.

De plus, le deuxième module est un enregistreur de touches, qui enregistre les entrées clavier de la cible et les sauvegarde dans un dossier local pour être exfiltrées ; le troisième est l’extracteur de webcam, ce qui signifie que les extracteurs activent secrètement la webcam. Ils capturent une vidéo ou une image et téléchargent les fichiers sur le serveur de l’attaquant que Kodec loue.

Non seulement cela, mais le logiciel malveillant extrait également divers types de documents et de fichiers des dossiers Bureau et Téléchargements, capture des captures d’écran et envoie toutes les données à son opérateur.

Le module ransomware de Kodex est conservé dans le chargeur et, s’il est activé, se télécharge comme fichier supplémentaire (“zzyy.zip”) depuis les sites Web du produit.

C’est un outil simple et efficace qui utilise 7-Zip pour créer un mot de passe sans que l’archive contenant les fichiers de la victime, empêchant effectivement l’accès à ceux-ci sans le mot de passe.

Selon Fortinet, développeur de l’EvilExactrator, Kodex a ajouté de nombreuses fonctionnalités à l’outil de vol de données depuis son lancement initial en octobre 2022. Il continue également à apporter des modifications pour le rendre plus stable.

Lire: Des Chercheurs en Sécurité de Checkpoint Découvrent un Ransomware Rapide ‘Rorschach’ avec des Fonctionnalités Uniques