Злой Экстрактор, Инструмент Кражи Данных, Наносящий Урон в США и Европе

Исследователи из нескольких компаний по безопасности сообщают о росте инструментов кражи данных в США и Европе, таких как Злой Экстрактор, используемый для кражи конфиденциальных данных пользователей. Эти атаки впервые были замечены компанией Recorded Future.

Инструмент кражи данных продавался компанией под названием Kodex за 59 долларов в месяц, и EvilExtractor включает в себя семь модулей атак, включая Credential Steelers, программное обеспечение-вымогатель и обход Windows.

Согласно аналитикам угроз Recorded Future Аллану Лиске, инструмент кражи данных продавался на форумах Nulled & Cracked в октябре прошлого года. Хотя он маркируется как подлинный инструмент, он затем рекламируется злоумышленникам на хакерских форумах.

Несколько других исследователей безопасности и компаний также наблюдают за ростом и злонамеренными атаками инструмента кражи данных и делятся своими находками в Twitter с февраля 2023 года.

Компания безопасности Fortinet упоминает, что хактивист использует EvilExtrator как вредоносное ПО для кражи информации, и согласно данным, собранным кибербезопасной компанией, рост информации о Злом Экстракторе наблюдается с марта 2023 года, при этом большинство из них связано с фишингом.

Читать: Фишинговые схемы, нацеленные на налогоплательщиков США с вредоносным ПО для удаленного доступа

Кибербезопасная компания Fortinet упоминает, что атаки, которые они наблюдали, начались с фишингового письма, выдающего себя за запрос на подтверждение аккаунта, содержащего сжатый gzip исполняемый файл в приложении.

Исполняемый файл создан так, чтобы выглядеть как подлинный PDF или файл Dropbox, но, конечно, на самом деле это исполняемая программа на Python.

Теперь, когда цель открывает файлы, исполняется файл Python и запускает загрузчик NET, который использует закодированный в base64 скрипт PowerShell для запуска исполняемого файла EvilExtractor.

При первоначальном запуске вредоносное ПО проверяет системное время и имя хоста, чтобы выяснить, работает ли система в виртуальной среде или в песочнице для анализа; если это так, оно завершает работу.

Вот следующие модули, которые представлены в этих атаках.

• Проверка даты и времени

• Анти-песочница

• Анти-ВМ

• Анти-сканер

• Настройка FPT сервера

• Кража данных

• Загрузка украденных данных

• Очистка журнала

• Вымогатель

Модуль кражи данных EvilExtractor загружает три дополнительных компонента Python, названных “KK2023.zip”, “Confirm.zip” и “MnMs.zip”. Первая программа извлекает куки из Google Chrome, Opera, Firefox и Microsoft Edge, а также собирает историю просмотров и сохраненные пароли из большого набора программ.

Кроме того, второй модуль является кейлоггером, который записывает вводимые с клавиатуры данные цели и сохраняет их в локальной папке для эксфильтрации; третий - это экстрактор веб-камеры, который означает, что экстракторы тайно включают веб-камеру. Захватывают видео или изображение и загружают файлы на сервер злоумышленника, который арендует Kodec.

Не только это, но и вредоносное ПО также извлекает различные виды документов и файлов из папок “Рабочий стол” и “Загрузки”, делает скриншоты и отправляет все данные своему оператору.

Модуль программного обеспечения-вымогателя Kodex хранится в загрузчике и, если активирован, загружает дополнительный файл (“zzyy.zip”) с веб-сайтов продукта.

Это простой и успешный инструмент, который использует 7-Zip для создания пароля без архива, содержащего файлы жертвы, эффективно предотвращая доступ к ним без пароля.

Согласно Fortinet, разработчик EvilExactrator, Kodex добавил множество функций в инструмент кражи данных с момента его первоначального запуска в октябре 2022 года. Он также продолжает вносить изменения, чтобы сделать его более стабильным.

Читать: Исследователи безопасности Checkpoint обнаружили быстрое программное обеспечение-вымогатель ‘Rorschach’ с уникальными функциями