Το EvilExtractor επιδιώκει να κλέψει δεδομένα

Το EvilExtractor είναι ένα κακόβουλο εργαλείο που στοχεύει τα λειτουργικά συστήματα των Windows για την εξαγωγή δεδομένων και αρχείων από συσκευές τελικού σημείου. Οι ενότητες του λειτουργούν μέσω μιας υπηρεσίας FTP και αναπτύχθηκαν από μια εταιρεία που ονομάζεται Kodex, η οποία ισχυρίζεται ότι είναι ένα εκπαιδευτικό εργαλείο. Ωστόσο, έρευνα από τα εργαστήρια FortiGuard δείχνει ότι οι εγκληματίες του κυβερνοχώρου το χρησιμοποιούν ενεργά για να κλέψουν πληροφορίες.

Η κακόβουλη δραστηριότητα που σχετίζεται με το evilextractor.com αυξήθηκε σημαντικά τον Μάρτιο του 2023. Η FortiGuard Labs παρατήρησε αυτό το κακόβουλο λογισμικό σε μια καμπάνια ηλεκτρονικού ψαρέματος στις 30 Μαρτίου και το εντόπισε στα δείγματα που περιλαμβάνονται στην έκθεσή τους. Το κακόβουλο λογισμικό είναι μεταμφιεσμένο ως νόμιμο αρχείο, όπως ένα αρχείο Adobe PDF ή Dropbox, αλλά μόλις ανοίξει, εκκινεί κακόβουλες δραστηριότητες του PowerShell. Το κακόβουλο λογισμικό περιέχει επίσης λειτουργίες που ελέγχουν το περιβάλλον και τέτοιες που ελέγχουν για εικονικοποίηση. Ο κύριος στόχος του κακόβουλου λογισμικού είναι να κλέψει δεδομένα και πληροφορίες προγράμματος περιήγησης από παραβιασμένα συστήματα και στη συνέχεια να τα διοχετεύσει στους εισβολείς.

Σύμφωνα με την αναφορά του Fortinet, οι επιθέσεις που παρατήρησαν ξεκίνησαν με ένα ηλεκτρονικό "ψάρεμα" που περιείχε ένα συμπιεσμένο εκτελέσιμο συνημμένο μεταμφιεσμένο ως νόμιμο αρχείο PDF ή Dropbox. Μόλις ανοίξει, εκκινεί ένα πρόγραμμα φόρτωσης .NET που χρησιμοποιεί μια κωδικοποιημένη δέσμη ενεργειών PowerShell για την εκκίνηση ενός εκτελέσιμου αρχείου EvilExtractor. Κατά την πρώτη εκκίνηση, το κακόβουλο λογισμικό ελέγχει την τοπική ώρα και το όνομα κεντρικού υπολογιστή του συστήματος για να δει αν εκτελείται σε εικονικό περιβάλλον ή περιβάλλον δοκιμών, οπότε θα βγει.

Το EvilExtractor περιλαμβάνει τρία επιπλέον στοιχεία Python: "KK2023.zip", "Confirm.zip" και "MnMs.zip". Το πρώτο πρόγραμμα εξάγει cookie, ιστορικό περιήγησης και αποθηκευμένους κωδικούς πρόσβασης από το Google Chrome, το Microsoft Edge, την Opera και τον Firefox, μεταξύ άλλων προγραμμάτων. Η άλλη λειτουργική μονάδα είναι ένας καταγραφέας πλήκτρων που καταγράφει τις πληκτρολογήσεις και τις αποθηκεύει σε έναν τοπικό φάκελο. Το τρίτο αρχείο είναι ένα πρόγραμμα εξαγωγής κάμερας web που μπορεί να ενεργοποιήσει αθόρυβα την κάμερα web, να τραβήξει βίντεο ή εικόνες και να ανεβάσει τη λήψη στον διακομιστή FTP του εισβολέα. Το κακόβουλο λογισμικό διεγείρει επίσης πολλούς τύπους αρχείων εγγράφων και πολυμέσων από τους φακέλους Desktop και Downloads, καταγράφει στιγμιότυπα οθόνης και στέλνει όλα τα κλεμμένα δεδομένα στους χειριστές του. Επιπλέον, η ενότητα «Kodex ransomware» είναι ένθετη στο πρόγραμμα φόρτωσης και, εάν ενεργοποιηθεί, πραγματοποιεί λήψη ενός επιπλέον αρχείου («zzyy.zip») από τον ιστότοπο του προϊόντος για να δημιουργήσει ένα αρχείο προστατευμένο με κωδικό πρόσβασης που περιέχει τα αρχεία του θύματος.

Πώς μπορούν οι ηθοποιοί απειλών να διαδώσουν κακόβουλο λογισμικό παρόμοιο με το EvilExtractor;

Οι φορείς απειλών μπορούν να διαδώσουν κακόβουλο λογισμικό παρόμοιο με το EvilExtractor χρησιμοποιώντας διάφορες τακτικές, όπως:

• Email ηλεκτρονικού ψαρέματος: Οι εισβολείς μπορούν να δημιουργήσουν μηνύματα ηλεκτρονικού ψαρέματος που φαίνεται να προέρχονται από μια αξιόπιστη πηγή, όπως μια τράπεζα ή μια δημοφιλής διαδικτυακή υπηρεσία, και να περιλαμβάνουν συνημμένα ή συνδέσμους σε κακόβουλα αρχεία που είναι μεταμφιεσμένα ως νόμιμα αρχεία, όπως αρχεία PDF ή αρχεία Dropbox. Μόλις το θύμα ανοίξει το αρχείο, το κακόβουλο λογισμικό μπορεί να εγκατασταθεί στο σύστημά του.
• Κακόβουλη διαφήμιση: Οι εισβολείς μπορούν επίσης να διαδώσουν κακόβουλο λογισμικό μέσω κακόβουλης διαφήμισης, η οποία περιλαμβάνει τη δημιουργία κακόβουλων διαφημίσεων που εμφανίζονται σε νόμιμους ιστότοπους. Όταν ένας χρήστης κάνει κλικ στη διαφήμιση, τον ανακατευθύνει σε έναν ιστότοπο που εγκαθιστά κακόβουλο λογισμικό στο σύστημά του.
• Επιθέσεις Watering Hole: Σε αυτόν τον τύπο επίθεσης, οι εισβολείς στοχεύουν έναν συγκεκριμένο ιστότοπο που είναι πιθανό να επισκεφθούν τα θύματά τους. Μολύνουν τον ιστότοπο με κακόβουλο λογισμικό και όταν το θύμα επισκέπτεται τον ιστότοπο, το σύστημά του μολύνεται με κακόβουλο λογισμικό.
• Λήψεις Drive-by: Οι εισβολείς μπορούν επίσης να χρησιμοποιήσουν λήψεις μέσω Drive για να εγκαταστήσουν κακόβουλο λογισμικό στο σύστημα ενός θύματος. Αυτός ο τύπος επίθεσης περιλαμβάνει την έγχυση κακόβουλου κώδικα σε νόμιμους ιστότοπους. Όταν ένας χρήστης επισκέπτεται τον μολυσμένο ιστότοπο, ο κακόβουλος κώδικας μεταφορτώνεται στο σύστημά του χωρίς τη γνώση ή τη συγκατάθεσή του.
• Κοινωνική μηχανική: Οι εισβολείς μπορούν να χρησιμοποιήσουν τακτικές κοινωνικής μηχανικής για να ξεγελάσουν τα θύματα ώστε να εγκαταστήσουν κακόβουλο λογισμικό στα συστήματά τους. Για παράδειγμα, μπορούν να δημιουργήσουν πλαστές ενημερώσεις λογισμικού ή προγράμματα προστασίας από ιούς που είναι στην πραγματικότητα μεταμφιεσμένα κακόβουλα προγράμματα.

Για την προστασία από αυτούς τους τύπους επιθέσεων, είναι απαραίτητο να εφαρμόζετε καλή υγιεινή στον κυβερνοχώρο, όπως να διατηρείτε το σύστημα και το λογισμικό σας ενημερωμένο, να χρησιμοποιείτε ισχυρούς κωδικούς πρόσβασης και να είστε προσεκτικοί όταν ανοίγετε συνημμένα email ή κάνοντας κλικ σε συνδέσμους.