EvilExtractor はデータを盗もうとしています
EvilExtractor は、Windows オペレーティング システムを標的にしてエンドポイント デバイスからデータとファイルを抽出する悪意のあるツールです。そのモジュールは FTP サービスを介して動作し、教育ツールであると主張する Kodex という会社によって開発されました。ただし、FortiGuard Labs の調査によると、サイバー犯罪者は情報を盗むために積極的に使用しています。
evilextractor.com に関連する悪意のある活動は、2023 年 3 月に大幅に増加しました。FortiGuard Labs は、3 月 30 日にフィッシング メール キャンペーンでこのマルウェアを観察し、レポートに含まれるサンプルにまでさかのぼって追跡しました。このマルウェアは、Adobe PDF や Dropbox ファイルなどの正当なファイルに偽装されていますが、開くと PowerShell の悪意のあるアクティビティを開始します。このマルウェアには、環境をチェックする機能や、仮想化をチェックする機能も含まれています。このマルウェアの主な目的は、侵害されたシステムからブラウザのデータと情報を盗み出し、それを攻撃者に送り込むことです。
Fortinet のレポートによると、彼らが観察した攻撃は、正規の PDF または Dropbox ファイルを装った圧縮された実行可能ファイルが添付されたフィッシング メールから始まりました。開くと、エンコードされた PowerShell スクリプトを使用して EvilExtractor 実行可能ファイルを起動する .NET ローダーが起動します。最初の起動時に、マルウェアはシステムのローカル時間とホスト名をチェックして、仮想環境またはサンドボックスで実行されているかどうかを確認します。その場合、マルウェアは終了します。
EvilExtractor には、「KK2023.zip」、「Confirm.zip」、「MnMs.zip」という 3 つの追加の Python コンポーネントが含まれています。最初のプログラムは、Google Chrome、Microsoft Edge、Opera、Firefox などのプログラムから Cookie、閲覧履歴、保存されたパスワードを抽出します。もう 1 つのモジュールは、キーストロークを記録してローカル フォルダーに保存するキー ロガーです。 3 番目のファイルは、Web カメラを静かにオンにし、ビデオまたは画像をキャプチャし、そのキャプチャを攻撃者の FTP サーバーにアップロードできる Web カメラ エクストラクタです。また、このマルウェアは、デスクトップ フォルダーとダウンロード フォルダーから多くの種類のドキュメントとメディア ファイルを盗み出し、スクリーンショットをキャプチャし、盗んだすべてのデータをオペレーターに送信します。さらに、「Kodex ランサムウェア」モジュールはローダーにネストされており、アクティブ化された場合、製品の Web サイトから追加のファイル (「zzyy.zip」) をダウンロードして、被害者のファイルを含むパスワードで保護されたアーカイブを作成します。
攻撃者はどのようにして EvilExtractor に似たマルウェアを拡散することができますか?
攻撃者は、次のようなさまざまな戦術を使用して、EvilExtractor に似たマルウェアを拡散する可能性があります。
- フィッシング メール: 攻撃者は、銀行や一般的なオンライン サービスなどの信頼できる送信元を装ったフィッシング メールを作成し、添付ファイルや、PDF や Dropbox ファイルなどの正当なファイルを装った悪意のあるファイルへのリンクを含めることができます。被害者がファイルを開くと、マルウェアがシステムにインストールされる可能性があります。
- マルバタイジング: 攻撃者は、正規の Web サイトに表示される悪意のある広告を作成するマルバタイジングによってマルウェアを広めることもできます。ユーザーが広告をクリックすると、システムにマルウェアをインストールする Web サイトにリダイレクトされます。
- 水飲み場攻撃: このタイプの攻撃では、攻撃者は、意図した被害者がアクセスする可能性が高い特定の Web サイトを標的にします。彼らは Web サイトをマルウェアに感染させ、被害者がサイトにアクセスすると、システムがマルウェアに感染します。
- ドライブバイ ダウンロード: 攻撃者は、ドライブバイ ダウンロードを使用して、被害者のシステムにマルウェアをインストールすることもできます。このタイプの攻撃には、正当な Web サイトに悪意のあるコードを挿入することが含まれます。ユーザーが感染した Web サイトにアクセスすると、知らないうちに同意なしに悪意のあるコードがシステムにダウンロードされます。
- ソーシャル エンジニアリング: 攻撃者は、ソーシャル エンジニアリングの手法を使用して、被害者をだましてシステムにマルウェアをインストールさせることができます。たとえば、実際には偽装したマルウェアである偽のソフトウェア更新プログラムやウイルス対策プログラムを作成できます。
この種の攻撃から保護するには、システムとソフトウェアを最新の状態に保ち、強力なパスワードを使用し、電子メールの添付ファイルを開いたりリンクをクリックしたりするときに注意するなど、適切なサイバーセキュリティ衛生を実践することが不可欠です.