EvilExtractor obsahuje sedm útočných modulů, které zahrnují ransomware, získávání přístupových údajů a obcházení ochrany Windows Defender. Proto je zapotřebí opravdu dbát na zabezpečení všech našich zařízení. Ačkoliv se EvilExtractor prezentuje jako legitimní nástroj, bylo zjištěno, že ho hlavně propagují útočníci na hackerských fórech, o čemž také již několikrát informoval veřejnost server BleepingComputer.

"V říjnu 2022 poprvé společnost Recorded Future zaznamenala nabídku EvilExtractoru na fórech Cracked a Nulled," uvedl Allan Liska, analytik hrozeb ze společnosti Recorded Future.

Další bezpečnostní výzkumníci na Twitteru od února 2022 sledují vývoj a škodlivé útoky využívající tento program. Podle společnosti Fortinet ho kyberzločinci používají převážně jako malware pro krádeže cizích dat. Statistiky útoků shromážděné společnostmi zabývajícími se kybernetickou bezpečností navíc ukazují, že v březnu 2023 se počet infekcí způsobených EvilExtractorem stále zvyšuje. Většina z nich pochází z phishingových kampaní.

Zdroj: Shutterstock

Společnost Fortinet přitom upozorňuje na nový typ útoku, který začíná podvodným e-mailem a kamufluje se jako žádost o potvrzení účtu. V e-mailu se navíc nachází příloha, která vypadá jako PDF soubor nebo Dropbox odkaz, ale ve skutečnosti se jedná o spustitelný program napsaný v jazyce Python. Jakmile oběť otevře přílohu, spustí se PyInstaller, což je nástroj pro vytváření spustitelných souborů pro Python skripty. Poté se spustí zavaděč .NET, který následně pomocí skriptu PowerShell spouští spustitelný soubor s názvem "EvilExtractor".

Malware uvnitř následně kontroluje název hostitele a systémový čas, aby zjistil, zda běží v sandboxu nebo virtuálním prostředí. Pokud je toto zjištěno, malware ukončí veškeré své procesy, aby nebyl detekován. Je důležité si uvědomit, že se jedná o velmi sofistikovaný útok, který vyžaduje velkou opatrnost při otevírání příloh z neznámých zdrojů.

Verze EvilExtractoru použitá při těchto útocích disponuje následujícími funkcemi:

• Kontrola data a času
• Anti-Sandbox
• Anti-VM
• Anti-Scanner
• Nastavení serveru FTP
• Krádež dat
• Nahrání ukradených dat
• Vymazání protokolu
• Ransomware

První komponenta umožňuje extrakci souborů cookie z internetových prohlížečů jako Google Chrome, Microsoft Edge, Opera a Firefox. Kromě toho dokáže také získat historii prohlížení a uložená hesla z mnoha dalších programů.

Druhou významnou částí (pro útočníky) je keylogger, který zaznamenává všechny vstupy oběti z klávesnice a ukládá je do místní složky. Tyto informace mohou být následně exfiltrovány. 

Škodlivý software rovněž dokáže exfiltrovat mnoho dalších typů dokumentů a multimediálních souborů z jakékoliv složky v počítači. Navíc zachytává snímky obrazovky a odesílá veškerá ukradená data svým provozovatelům, což je v tomto případě šifrovaný FTP server patřící Kodexu.

Bezpečnostní společnost Fortinet varuje, že vývojáři společnosti Kodex EvilExtractor neustále vylepšují a zdokonalují od jeho prvního vydání v říjnu 2022. Stal se tedy stabilnějším, průbojnějším a co hůře - stává se stále populárnějším mezi kyberzločinci.