EvilExtractor マルウェア

サイバーセキュリティのレポートによると、EvilExtractor または Evil Extractor として知られるデータ盗難ツールを使用した攻撃が最近増加しています。このツールはユーザーの機密データを盗むように設計されており、ヨーロッパと米国の両方で使用されています。EvilExtractor ツールは、Kodex という会社から月額 59 ドルで販売されています。このツールには、ランサムウェア、資格情報の抽出、Windows Defender のバイパスなど、7 つの異なる攻撃モジュールがあります。 Kodex は EvilExtractor を正当なツールとして売り込んでいますが、ハッキング フォーラムで主にサイバー犯罪者に宣伝されていることを示す証拠があります。

サイバー犯罪者は、情報を盗むマルウェアとして EvilExtractor を実際に展開しています。サイバーセキュリティ会社が発行したレポートによると、EvilExtractor を使用した攻撃は 2023 年の初めから急増しています。脅威アクターは、ターゲットに感染する方法として、リンクされたフィッシング キャンペーンを確立しました。

EvilExtractor はフィッシング メールを介して配信されます

EvilExtractor 攻撃は、アカウント確認要求として表示されるように設計されたフィッシング メールから始まります。電子メールには、正規の PDF または Dropbox ファイルを装った圧縮された実行ファイルが添付されていました。ただし、添付ファイルを開くと、Python 実行可能プログラムが起動されました。

このプログラムは、PyInstaller ファイルを使用して .NET ローダーを実行します。次に、base64 でエンコードされた PowerShell スクリプトをアクティブにして、EvilExtractor 実行可能ファイルを起動します。マルウェアは起動時に、侵害されたシステムのホスト名と時間をチェックして、仮想環境で実行されているか、分析サンドボックスで実行されているかを検出します。そのような環境を検出すると、マルウェアの脅威はその実行を終了します。

これらの攻撃で使用された EvilExtractor のバージョンには、合計 7 つの異なるモジュールが含まれています。各モジュールは、日付と時刻のチェック、アンチサンドボックス、アンチ VM、アンチスキャナー、FTP サーバー設定、データ盗用、データ アップロード、ログ消去、さらにはランサムウェア機能を備えたものなど、特定の機能を担当します。

EvilExtractor マルウェアは、機密データを盗み出したり、ランサムウェアとして機能したりする可能性があります

EvilExtractor マルウェアには、「KK2023.zip」、「Confirm.zip」、「MnMs.zip」という名前の 3 つの追加の Python コンポーネントをダウンロードするデータ盗用モジュールが含まれています。

最初のコンポーネントは、Google Chrome、Microsoft Edge、Opera、Firefox などの一般的なブラウザーから Cookie を抽出します。さらに、広範なプログラム セットから閲覧履歴と保存されたパスワードを収集します。

2 番目のコンポーネントはキーロガーとして機能し、被害者のキーボード入力を記録してローカル フォルダに保存し、後で取得できるようにします。

3 番目のコンポーネントは、Web カメラを静かに起動し、ビデオや画像をキャプチャして、攻撃者の FTP サーバー (Kodex がレンタル) にアップロードできる Web カメラ エクストラクタです。

このマルウェアはまた、被害者のデスクトップおよびダウンロード フォルダーからドキュメントとメディア ファイルを盗み、任意のスクリーンショットをキャプチャし、収集したすべてのデータをオペレーターに盗み出します。

マルウェアのランサムウェア モジュールはローダー内にネストされており、起動すると、製品の Web サイトから「zzyy.zip」という名前の追加ファイルをダウンロードします。これは、7-Zip アプリを使用して、被害者のファイルを含むパスワードで保護されたアーカイブを作成し、パスワードなしでのアクセスを効果的に防止するファイル ロック ツールです。