악성 추출기, 미국 및 유럽에서 혼란을 일으키는 데이터 도난 도구

여러 보안 회사의 연구자들은 Evil Extractor와 같은 데이터 도난 도구의 증가를 보고하고 있으며, 이는 사용자의 민감한 데이터를 훔치는 데 사용됩니다. 이러한 공격은 Recorded Future에 의해 처음 발견되었습니다.

이 데이터 도난 도구는 Kodex라는 회사에 의해 월 $59에 판매되며, EvilExtractor는 자격 증명 도용기, 랜섬웨어 및 Windows 우회와 같은 7개의 공격 모듈을 특징으로 합니다.

Recorded Future의 위협 인텔리전스 분석가 Allan Liska에 따르면, 이 데이터 도난 도구는 지난해 10월 Nulled & Cracked 포럼에서 판매되고 있었습니다. 이는 정품 도구로 표시되지만, 해킹 포럼에서 위협 행위자에게 홍보됩니다.

다수의 다른 보안 연구자 및 회사들도 데이터 도난 도구의 성장과 악의적인 공격을 관찰하고 있으며, 2023년 2월부터 그들의 발견을 Twitter에서 공유하고 있습니다.

보안 회사 Fortinet은 해커가 EvilExtractor를 정보 도용 악성코드로 사용한다고 언급하며, 사이버 보안 회사가 수집한 데이터에 따르면 Evil Extractor의 성장은 2023년 3월 이후 증가했으며, 그 대부분은 피싱 활동에서 발생했습니다.

읽기: 원격 액세스 악성코드로 미국 납세자를 겨냥한 피싱 사기

사이버 보안 회사 Fortinet은 그들이 관찰한 공격이 계정 확인 요청을 가장한 피싱 이메일로 시작되며, gzip 압축 실행 파일 첨부파일이 포함되어 있다고 언급합니다.

실행 파일 첨부파일은 진짜 PDF 또는 Dropbox 파일처럼 보이도록 만들어졌지만, 실제로는 Python 실행 프로그램입니다.

이제 대상이 파일을 열면 Python 파일이 실행되고 NET 로더가 시작되어 base64로 인코딩된 PowerShell 스크립트를 사용하여 EvilExtractor 실행 파일을 시작합니다.

초기 시작 시, 악성코드는 시스템 시간이 가상 환경이나 분석 샌드박스에서 실행되고 있는지를 확인하기 위해 시스템 시간과 호스트 이름을 확인합니다. 그런 경우에는 종료됩니다.

다음은 이러한 공격에서 특징적으로 사용되는 모듈입니다.

• 날짜 및 시간 확인

• 안티 샌드박스

• 안티 VM

• 안티 스캐너

• FPT 서버 설정

• 데이터 도용

• 도용한 데이터 업로드

• 로그 지우기

• 랜섬웨어

EvilExtractor 데이터 도용 모듈은 “KK2023.zip”, “Confirm.zip” 및 “MnMs.zip”이라는 세 개의 추가 Python 구성 요소를 다운로드합니다. 첫 번째 프로그램은 Google Chrome, Opera, Firefox 및 Microsoft Edge에서 쿠키를 추출하고, 많은 프로그램에서 브라우징 기록 및 저장된 비밀번호를 수집합니다.

더욱이, 두 번째 모듈은 키 로거로, 대상의 키보드 입력을 기록하고 이를 로컬 폴더에 저장하여 유출됩니다. 세 번째는 웹캠 추출기로, 추출기가 웹캠을 몰래 켜고 비디오나 사진을 캡처하여 Kodec가 임대하는 공격자 서버에 파일을 업로드합니다.

이뿐만 아니라, 악성코드는 데스크탑 및 다운로드 폴더에서 다양한 문서 및 파일을 추출하고, 스크린샷을 캡처하여 모든 데이터를 운영자에게 전송합니다.

Kodex 랜섬웨어 모듈은 로더에 보관되어 있으며, 활성화되면 제품 웹사이트에서 추가 파일(“zzyy.zip”)을 다운로드합니다.

이는 피해자의 파일을 포함하지 않는 아카이브 없이 비밀번호를 생성하기 위해 7-Zip을 활용하는 간단하고 성공적인 파일 도구입니다. 비밀번호 없이는 접근을 효과적으로 차단합니다.

Fortinet에 따르면, EvilExtractor의 개발자인 Kodex는 2022년 10월 초기 출시 이후 데이터 도난 도구에 많은 기능을 추가했습니다. 또한 더 안정적으로 만들기 위해 계속해서 변경하고 있습니다.

읽기: 체크포인트 보안 연구원들이 독특한 기능을 가진 빠른 랜섬웨어 ‘Rorschach’를 발견했습니다.