Evil Extractor, Ferramenta de Roubo de Dados Causando Caos nos EUA e Europa

Pesquisadores de várias empresas de segurança têm relatado um aumento nas ferramentas de roubo de dados nos EUA e na Europa, como o Evil Extractor, usado para roubar dados sensíveis dos usuários. Bem, esses ataques foram inicialmente detectados pela Recorded Future.

A ferramenta de roubo de dados foi vendida por uma empresa chamada Kodex por $59/mês, e o EvilExtractor possui sete módulos de ataque, incluindo Credential Steelers, ransomware e bypass do Windows.

De acordo com o analista de inteligência de ameaças da Recorded Future, Allan Liska, a ferramenta de roubo de dados estava sendo vendida em fóruns Nulled & Cracked em outubro do ano passado. Embora seja marcada como uma ferramenta autêntica, ela é então promovida para atores de ameaça nos fóruns de hacking.

Vários outros pesquisadores e empresas de segurança também têm observado o crescimento e os ataques maliciosos da ferramenta de roubo de dados e têm compartilhado suas descobertas no Twitter desde fevereiro de 2023.

A empresa de segurança Fortinet menciona que o hacktivista usa o EvilExtractor como o malware de roubo de informações, e de acordo com os dados coletados pela empresa de cibersegurança, o crescimento do Evil Extractor viu um aumento desde março de 2023, com a maioria deles vindo de atividades de phishing.

Leia: Golpes de Phishing Alvo de Contribuintes dos EUA com Malware de Acesso Remoto

A empresa de cibersegurança Fortinet menciona que os ataques que observaram começaram com um e-mail de phishing se passando por um pedido de confirmação de conta, contendo um anexo executável comprimido em gzip.

O anexo executável é criado para parecer um PDF autêntico ou um arquivo do Dropbox, mas, claro, na realidade, é um programa executável Python.

Agora, quando o alvo abre os arquivos, um arquivo Python é executado e lança um carregador NET que usa um script PowerShell codificado em base64 para iniciar um executável EvilExtractor.

Na inicialização, o malware verifica a hora do sistema e o nome do host para descobrir se o sistema está sendo executado em um ambiente virtual ou na sandbox de análise; se esse for o caso, ele sairá.

Estes são os seguintes módulos que estão presentes nesses ataques.

• Verifica Data & Hora

• Anti-Sandbox

• Anti VM

• Anti-Scanner

• Configuração do servidor FPT

• Roubar dados

• Fazer upload de dados roubados

• Limpar Log

• Ransomware

O módulo de roubo de dados EvilExtractor baixa três componentes Python adicionais chamados “KK2023.zip”, “Confirm.zip” e “MnMs.zip”. O primeiro programa extrai cookies do Google Chrome, Opera, Firefox e Microsoft Edge e também coleta histórico de navegação e senhas salvas de um grande conjunto de programas.

Além disso, o segundo módulo é um keylogger, que registra as entradas do teclado do alvo e as salva em uma pasta local para serem exfiltradas; o terceiro é o extrator de webcam, que significa que os extratores ativam secretamente a webcam. Capturam um vídeo ou uma foto e fazem o upload dos arquivos para o servidor do atacante que a Kodec aluga.

Não só isso, mas o malware também extrai vários tipos de documentos e arquivos das pastas Desktop e Downloads, captura capturas de tela e envia todos os dados para seu operador.

O módulo de ransomware Kodex é mantido no carregador e, se ativado, baixa como um arquivo adicional (“zzyy.zip”) dos sites do produto.

É uma ferramenta de arquivo simples e bem-sucedida que utiliza 7-Zip para criar uma senha sem que o arquivo compactado contenha os arquivos da vítima, efetivamente impedindo o acesso a eles sem a senha.

De acordo com a Fortinet, desenvolvedora do EvilExactrator, a Kodex adicionou muitos recursos à ferramenta de roubo de dados desde seu lançamento inicial em outubro de 2022. Ela também continua fazendo alterações para torná-la mais estável.

Leia: Pesquisadores de Segurança da Checkpoint Descobrem Ransomware Rápido ‘Rorschach’ com Recursos Únicos