EvilExtractor 試圖竊取數據

EvilExtractor 是一種以 Windows 操作系統為目標的惡意工具，用於從端點設備中提取數據和文件。它的模塊通過 FTP 服務運行，由一家名為 Kodex 的公司開發，該公司聲稱它是一種教育工具。然而，FortiGuard Labs 的研究表明，網絡犯罪分子正在積極使用它來竊取信息。

與 evilextractor.com 相關的惡意活動在 2023 年 3 月顯著增加。FortiGuard Labs 在 3 月 30 日的網絡釣魚電子郵件活動中觀察到該惡意軟件，並將其追溯到他們報告中包含的樣本。該惡意軟件偽裝成合法文件，例如 Adobe PDF 或 Dropbox 文件，但一旦打開，它就會啟動 PowerShell 惡意活動。該惡意軟件還包含檢查環境和檢查虛擬化的功能。該惡意軟件的主要目標是從受感染的系統中竊取瀏覽器數據和信息，然後將其提供給攻擊者。

根據 Fortinet 的報告，他們觀察到的攻擊始於一封網絡釣魚電子郵件，其中包含偽裝成合法 PDF 或 Dropbox 文件的壓縮可執行附件。打開後，它會啟動一個 .NET 加載器，該加載器使用經過編碼的 PowerShell 腳本來啟動 EvilExtractor 可執行文件。首次啟動時，惡意軟件會檢查系統的本地時間和主機名，以查看它是否在虛擬環境或沙箱中運行，在這種情況下它會退出。

EvilExtractor 包括三個額外的 Python 組件：“KK2023.zip”、“Confirm.zip”和“MnMs.zip”。第一個程序從 Google Chrome、Microsoft Edge、Opera 和 Firefox 等程序中提取 cookie、瀏覽歷史記錄和保存的密碼。另一個模塊是一個按鍵記錄器，它記錄按鍵並將它們保存在本地文件夾中。第三個文件是一個網絡攝像頭提取器，它可以悄悄地打開網絡攝像頭，捕獲視頻或圖像，並將捕獲的內容上傳到攻擊者的 FTP 服務器。該惡意軟件還從桌面和下載文件夾中竊取許多文檔和媒體文件類型，捕獲屏幕截圖，並將所有被盜數據發送給其操作員。此外，“Kodex 勒索軟件”模塊嵌套在加載程序中，如果被激活，它會從產品網站下載一個附加文件（“zzyy.zip”），以創建一個包含受害者文件的受密碼保護的存檔。

威脅參與者如何傳播類似於 EvilExtractor 的惡意軟件？

威脅行為者可以使用各種策略傳播類似於 EvilExtractor 的惡意軟件，例如：

• 網絡釣魚電子郵件：攻擊者可以創建看似來自可信來源（例如銀行或流行的在線服務）的網絡釣魚電子郵件，並包含偽裝成合法文件（例如 PDF 或 Dropbox 文件）的惡意文件的附件或鏈接。一旦受害者打開文件，惡意軟件就可以安裝在他們的系統上。
• 惡意廣告：攻擊者還可以通過惡意廣告傳播惡意軟件，這涉及創建出現在合法網站上的惡意廣告。當用戶點擊廣告時，它會將他們重定向到一個在他們的系統上安裝惡意軟件的網站。
• 水坑攻擊：在這種類型的攻擊中，攻擊者以目標受害者可能訪問的特定網站為目標。他們用惡意軟件感染網站，當受害者訪問該網站時，他們的系統就會感染惡意軟件。
• 偷渡式下載：攻擊者還可以使用偷渡式下載在受害者的系統上安裝惡意軟件。這種類型的攻擊涉及將惡意代碼注入合法網站。當用戶訪問受感染的網站時，惡意代碼會在他們不知情或未同意的情況下下載到他們的系統中。
• 社會工程：攻擊者可以使用社會工程策略來誘騙受害者在他們的系統上安裝惡意軟件。例如，他們可以創建偽裝的惡意軟件更新或防病毒程序。

為了防止這些類型的攻擊，養成良好的網絡安全衛生習慣至關重要，例如讓您的系統和軟件保持最新狀態、使用強密碼以及在打開電子郵件附件或點擊鏈接時保持謹慎。