Logiciel malveillant EvilExtractor

Selon les rapports de cybersécurité, il y a eu une augmentation récente des attaques utilisant un outil de vol de données appelé EvilExtractor ou Evil Extractor. Cet outil est conçu pour voler des données utilisateur sensibles et est utilisé à la fois en Europe et aux États-Unis. L'outil EvilExtractor est vendu par une société nommée Kodex pour 59 $ par mois. L'outil dispose de sept modules d'attaque différents, y compris les rançongiciels, l'extraction des informations d'identification et le contournement de Windows Defender. Alors que Kodex commercialise EvilExtractor comme un outil légitime, les preuves suggèrent qu'il est principalement promu auprès des cybercriminels sur les forums de piratage.

Les cybercriminels déploient EvilExtractor comme un logiciel malveillant voleur d'informations dans la nature. Selon un rapport publié par une société de cybersécurité, les attaques utilisant EvilExtractor ont augmenté depuis le début de 2023. Les acteurs de la menace ont mis en place une campagne de phishing liée comme moyen d'infecter les cibles.

EvilExtractor est livré via des e-mails de phishing

Les attaques EvilExtractor commencent par un e-mail de phishing conçu pour apparaître comme une demande de confirmation de compte. L'e-mail contenait une pièce jointe exécutable compressée, déguisée en fichier PDF ou Dropbox légitime. Cependant, lors de l'ouverture de la pièce jointe, un programme exécutable Python a été lancé.

Ce programme utilise un fichier PyInstaller pour exécuter un chargeur .NET, qui, à son tour, active un script PowerShell codé en base64 pour lancer l'exécutable EvilExtractor. Lors du lancement, le logiciel malveillant vérifie le nom d'hôte et l'heure du système piraté pour détecter s'il est exécuté dans un environnement virtuel ou un bac à sable d'analyse. S'il détecte un tel environnement, la menace malveillante met fin à son exécution.

La version d'EvilExtractor utilisée dans ces attaques comprend un total de sept modules distincts. Chaque module est responsable d'une fonction spécifique, telle que la vérification de la date et de l'heure, l'anti-sandbox, l'anti-VM, l'anti-scanner, la configuration du serveur FTP, le vol de données, le téléchargement de données, l'effacement des journaux et même un avec des capacités de ransomware.

Le logiciel malveillant EvilExtractor peut exfiltrer des données sensibles ou agir comme un ransomware

Le logiciel malveillant EvilExtractor contient un module de vol de données qui télécharge trois composants Python supplémentaires nommés "KK2023.zip", "Confirm.zip" et "MnMs.zip".

Le premier composant extrait les cookies des navigateurs populaires tels que Google Chrome, Microsoft Edge, Opera et Firefox. De plus, il collecte l'historique de navigation et les mots de passe enregistrés à partir d'un ensemble complet de programmes.

Le deuxième composant fonctionne comme un enregistreur de frappe, enregistrant les entrées au clavier de la victime et les sauvegardant dans un dossier local pour être récupérées plus tard.

Le troisième composant est un extracteur de webcam qui peut activer silencieusement la webcam, capturer des vidéos ou des images et les télécharger sur le serveur FTP de l'attaquant, qui est loué par Kodex.

Le logiciel malveillant vole également des documents et des fichiers multimédias dans les dossiers Bureau et Téléchargements de la victime, capture des captures d'écran arbitraires et exfiltre toutes les données collectées vers ses opérateurs.

Le module rançongiciel du logiciel malveillant est imbriqué dans le chargeur et, lorsqu'il est activé, télécharge un fichier supplémentaire nommé « zzyy.zip » à partir du site Web du produit. Il s'agit d'un outil de verrouillage de fichiers qui utilise l'application 7-Zip pour créer une archive protégée par mot de passe contenant les fichiers de la victime, empêchant efficacement l'accès à ceux-ci sans le mot de passe.