Evil Extractor, Strumento di Furto Dati che Causa Caos negli Stati Uniti e in Europa

I ricercatori di diverse aziende di sicurezza hanno segnalato un aumento degli strumenti di furto dati negli Stati Uniti e in Europa, come Evil Extractor, utilizzato per rubare i dati sensibili degli utenti. Bene, questi attacchi sono stati inizialmente individuati da Recorded Future.

Lo strumento di furto dati è stato venduto da una società chiamata Kodex per $59 al mese, e l’EvilExtractor presenta sette moduli di attacco, tra cui Credential Steelers, ransomware e bypass di Windows.

Secondo l’analista di intelligence sulle minacce di Recorded Future, Allan Liska, lo strumento di furto dati è stato venduto nei forum Nulled & Cracked nell’ottobre dello scorso anno. Sebbene venga contrassegnato come uno strumento autentico, viene poi promosso agli attori della minaccia nei forum di hacking.

Altri ricercatori e aziende di sicurezza hanno anche osservato la crescita e gli attacchi malevoli dello strumento di furto dati e hanno condiviso le loro scoperte su Twitter da febbraio 2023.

La società di sicurezza Fortinet menziona che l’hacktivista utilizza l’EvilExtrator come malware per il furto di informazioni, e secondo i dati raccolti dalla società di cybersecurity, la crescita dell’informazione Evil Extractor ha visto un aumento da marzo 2023, con la maggior parte di essi provenienti da attività di phishing.

Leggi: Truffe di Phishing che Prendono di Mira i Contribuenti Statunitensi con Malware di Accesso Remoto

La società di CyberSecurity Fortinet menziona che gli attacchi che hanno osservato sono iniziati con un’email di phishing che impersonava una richiesta di conferma dell’account, contenente un allegato eseguibile compresso gzip.

L’allegato eseguibile è creato per sembrare un PDF autentico o un file Dropbox, ma ovviamente, in realtà, è un programma eseguibile Python.

Ora, quando il bersaglio apre i file, viene eseguito un file Python e lanciato un caricatore NET che utilizza uno script PowerShell codificato in base64 per avviare un eseguibile EvilExtractor.

All’avvio iniziale, il malware controlla l’ora di sistema e il nome host per verificare se il sistema è in esecuzione in un ambiente virtuale o nella sandbox di analisi; se è così, uscirà.

Questi sono i seguenti moduli presenti in questi attacchi.

• Controlla Data e Ora
• Anti-Sandbox
• Anti VM
• Anti-Scanner
• Impostazione server FPT
• Ruba dati
• Carica Dati Rubati
• Cancella Log
• Ransomware

Il modulo di furto dati EvilExtractor scarica tre ulteriori componenti Python chiamati “KK2023.zip”, “Confirm.zip” e “MnMs.zip”. Il primo programma estrae i cookie da Google Chrome, Opera, Firefox e Microsoft Edge e raccoglie anche la cronologia di navigazione e le password salvate da un ampio insieme di programmi.

Inoltre, il secondo modulo è un keylogger, che registra gli input della tastiera del bersaglio e li salva in una cartella locale per essere esfiltrati; il terzo è l’estrattore di webcam, il che significa che gli estrattori accendono segretamente la webcam. Catturano un video o un’immagine e caricano i file sul server dell’attaccante che Kodec affitta.

Non solo questo, ma il malware estrae anche vari tipi di documenti e file dalle cartelle Desktop e Download, cattura schermate e invia tutti i dati al suo operatore.

Il modulo ransomware di Kodex è mantenuto nel caricatore e, se attivato, viene scaricato come file aggiuntivo (“zzyy.zip”) dai siti web del prodotto.

È uno strumento semplice e di successo che utilizza 7-Zip per creare una password senza che l’archivio contenga i file della vittima, impedendo efficacemente l’accesso a essi senza la password.

Secondo Fortinet, sviluppatore di EvilExactrator, Kodex ha aggiunto molte funzionalità allo strumento di furto dati dalla sua prima lancio nell’ottobre 2022. Continua anche a fare modifiche per renderlo più stabile.

Leggi: I Ricercatori di Sicurezza di Checkpoint Scoprono un Ransomware Veloce ‘Rorschach’ con Caratteristiche Uniche