EvilExtractor 试图窃取数据

EvilExtractor 是一种以 Windows 操作系统为目标的恶意工具，用于从端点设备中提取数据和文件。它的模块通过 FTP 服务运行，由一家名为 Kodex 的公司开发，该公司声称它是一种教育工具。然而，FortiGuard Labs 的研究表明，网络犯罪分子正在积极使用它来窃取信息。

与 evilextractor.com 相关的恶意活动在 2023 年 3 月显着增加。FortiGuard Labs 在 3 月 30 日的网络钓鱼电子邮件活动中观察到该恶意软件，并将其追溯到他们报告中包含的样本。该恶意软件伪装成合法文件，例如 Adobe PDF 或 Dropbox 文件，但一旦打开，它就会启动 PowerShell 恶意活动。该恶意软件还包含检查环境和检查虚拟化的功能。该恶意软件的主要目标是从受感染的系统中窃取浏览器数据和信息，然后将其提供给攻击者。

根据 Fortinet 的报告，他们观察到的攻击始于一封网络钓鱼电子邮件，其中包含伪装成合法 PDF 或 Dropbox 文件的压缩可执行附件。打开后，它会启动一个 .NET 加载器，该加载器使用经过编码的 PowerShell 脚本来启动 EvilExtractor 可执行文件。首次启动时，恶意软件会检查系统的本地时间和主机名，以查看它是否在虚拟环境或沙箱中运行，在这种情况下它会退出。

EvilExtractor 包括三个额外的 Python 组件：“KK2023.zip”、“Confirm.zip”和“MnMs.zip”。第一个程序从 Google Chrome、Microsoft Edge、Opera 和 Firefox 等程序中提取 cookie、浏览历史记录和保存的密码。另一个模块是一个按键记录器，它记录按键并将它们保存在本地文件夹中。第三个文件是一个网络摄像头提取器，它可以悄悄地打开网络摄像头，捕获视频或图像，并将捕获的内容上传到攻击者的 FTP 服务器。该恶意软件还从桌面和下载文件夹中窃取许多文档和媒体文件类型，捕获屏幕截图，并将所有被盗数据发送给其操作员。此外，“Kodex 勒索软件”模块嵌套在加载程序中，如果被激活，它会从产品网站下载一个附加文件（“zzyy.zip”），以创建一个包含受害者文件的受密码保护的存档。

威胁参与者如何传播类似于 EvilExtractor 的恶意软件？

威胁行为者可以使用各种策略传播类似于 EvilExtractor 的恶意软件，例如：

• 网络钓鱼电子邮件：攻击者可以创建看似来自可信来源（例如银行或流行的在线服务）的网络钓鱼电子邮件，并包含伪装成合法文件（例如 PDF 或 Dropbox 文件）的恶意文件的附件或链接。一旦受害者打开文件，恶意软件就可以安装在他们的系统上。
• 恶意广告：攻击者还可以通过恶意广告传播恶意软件，这涉及创建出现在合法网站上的恶意广告。当用户点击广告时，它会将他们重定向到一个在他们的系统上安装恶意软件的网站。
• 水坑攻击：在这种类型的攻击中，攻击者以目标受害者可能访问的特定网站为目标。他们用恶意软件感染网站，当受害者访问该网站时，他们的系统就会感染恶意软件。
• 偷渡式下载：攻击者还可以使用偷渡式下载在受害者的系统上安装恶意软件。这种类型的攻击涉及将恶意代码注入合法网站。当用户访问受感染的网站时，恶意代码会在他们不知情或未同意的情况下下载到他们的系统中。
• 社会工程：攻击者可以使用社会工程策略来诱骗受害者在他们的系统上安装恶意软件。例如，他们可以创建伪装的恶意软件更新或防病毒程序。

为了防止这些类型的攻击，必须保持良好的网络安全卫生习惯，例如使您的系统和软件保持最新状态、使用强密码以及在打开电子邮件附件或单击链接时保持谨慎。