EvilExtractor стремится украсть данные

EvilExtractor — это вредоносный инструмент, предназначенный для операционных систем Windows и предназначенный для извлечения данных и файлов с оконечных устройств. Его модули работают через службу FTP и были разработаны компанией Kodex, которая утверждает, что это образовательный инструмент. Однако исследования FortiGuard Labs показывают, что киберпреступники активно используют его для кражи информации.

В марте 2023 г. значительно возросла вредоносная активность, связанная с evilextractor.com. 30 марта FortiGuard Labs обнаружила это вредоносное ПО в ходе фишинговой рассылки по электронной почте и отследила его до образцов, включенных в их отчет. Вредоносная программа маскируется под законный файл, такой как файл Adobe PDF или Dropbox, но после открытия инициирует вредоносные действия PowerShell. Вредоносная программа также содержит функции, проверяющие среду и такие, которые проверяют виртуализацию. Основная цель вредоносного ПО — украсть данные браузера и информацию из скомпрометированных систем, а затем направить их злоумышленникам.

Согласно отчету Fortinet, наблюдаемые ими атаки начались с фишингового электронного письма, которое содержало сжатый исполняемый файл, замаскированный под легитимный файл PDF или Dropbox. После открытия он запускает загрузчик .NET, который использует закодированный сценарий PowerShell для запуска исполняемого файла EvilExtractor. При первом запуске вредоносное ПО проверяет локальное время и имя хоста системы, чтобы узнать, работает ли оно в виртуальной среде или песочнице, и в этом случае оно завершит работу.

EvilExtractor включает три дополнительных компонента Python: «KK2023.zip», «Confirm.zip» и «MnMs.zip». Первая программа извлекает файлы cookie, историю посещенных страниц и сохраненные пароли из Google Chrome, Microsoft Edge, Opera и Firefox, а также других программ. Другой модуль — это кейлоггер, который записывает нажатия клавиш и сохраняет их в локальной папке. Третий файл — это экстрактор веб-камеры, который может незаметно включить веб-камеру, захватить видео или изображения и загрузить захват на FTP-сервер злоумышленника. Вредонос также извлекает многие типы документов и мультимедийных файлов из папок «Рабочий стол» и «Загрузки», делает снимки экрана и отправляет все украденные данные своим операторам. Кроме того, модуль «Kodex ransomware» вложен в загрузчик и, если он активирован, загружает дополнительный файл («zzyy.zip») с веб-сайта продукта для создания защищенного паролем архива, содержащего файлы жертвы.

Как злоумышленники могут распространять вредоносные программы, подобные EvilExtractor?

Злоумышленники могут распространять вредоносное ПО, подобное EvilExtractor, используя различные тактики, например:

• Фишинговые электронные письма. Злоумышленники могут создавать фишинговые электронные письма, которые выглядят как отправленные из надежного источника, например банка или популярной онлайн-службы, и включают вложения или ссылки на вредоносные файлы, замаскированные под подлинные файлы, такие как PDF-файлы или файлы Dropbox. Как только жертва открывает файл, вредоносное ПО может быть установлено в их системе.
• Вредоносная реклама. Злоумышленники также могут распространять вредоносное ПО с помощью вредоносной рекламы, которая включает создание вредоносной рекламы, которая появляется на законных веб-сайтах. Когда пользователь нажимает на объявление, оно перенаправляет его на веб-сайт, который устанавливает вредоносное ПО в его систему.
• Атаки Watering Hole: в этом типе атак злоумышленники нацелены на определенный веб-сайт, который, вероятно, посетят их предполагаемые жертвы. Они заражают веб-сайт вредоносным ПО, и когда жертва посещает сайт, их система заражается вредоносным ПО.
• Дисковые загрузки: Злоумышленники также могут использовать дисковые загрузки для установки вредоносного ПО в систему жертвы. Этот тип атаки включает в себя внедрение вредоносного кода на законные веб-сайты. Когда пользователь посещает зараженный веб-сайт, вредоносный код загружается в его систему без его ведома или согласия.
• Социальная инженерия: Злоумышленники могут использовать тактику социальной инженерии, чтобы заставить жертв установить вредоносное ПО на свои системы. Например, они могут создавать поддельные обновления программного обеспечения или антивирусные программы, которые на самом деле являются замаскированными вредоносными программами.

Чтобы защититься от атак такого типа, важно соблюдать правила гигиены кибербезопасности, такие как регулярное обновление системы и программного обеспечения, использование надежных паролей и осторожность при открытии вложений электронной почты или переходе по ссылкам.