A atividade do malware EvilExtractor aumentou na Europa e nos Estados Unidos
24 de Abril de 2023

Pesquisadores estão observando um aumento nos ataques que utilizam a ferramenta de roubo de dados EvilExtractor, usada para roubar dados sensíveis dos usuários na Europa e nos Estados Unidos.

A Kodex, empresa que vende o EvilExtractor por $59/mês, oferece sete módulos de ataque, incluindo ransomware, extração de credenciais e bypass do Windows Defender.

Embora seja comercializado como uma ferramenta legítima, foi informado ao BleepingComputer que o EvilExtractor é principalmente promovido para atores de ameaças em fóruns de hacking.

"Allan Liska, analista de inteligência de ameaças da Recorded Future, disse ao BleepingComputer que a Recorded Future observou pela primeira vez o EvilExtractor sendo vendido nos fóruns Cracked e Nulled em outubro de 2022."

Outros pesquisadores de segurança também têm monitorado o desenvolvimento e os ataques maliciosos usando o EvilExtractor, compartilhando suas descobertas no Twitter desde fevereiro de 2022.

A Fortinet relata que os cibercriminosos usam o EvilExtractor como malware de roubo de informações.

Com base nas estatísticas de ataque coletadas pela empresa de segurança cibernética, a implantação do EvilExtractor aumentou em março de 2023, com a maioria das infecções provenientes de uma campanha de phishing vinculada.

A Fortinet diz que os ataques que eles observaram começaram com um e-mail de phishing disfarçado de solicitação de confirmação de conta, carregando um anexo executável compactado gzip.

Este executável é criado para parecer um arquivo PDF ou Dropbox legítimo, mas na realidade é um programa executável Python.

Quando o alvo abre o arquivo, é executado um arquivo PyInstaller e lança um loader .NET que usa um script PowerShell codificado em base64 para lançar um executável EvilExtractor.

Na primeira execução, o malware verificará a hora do sistema e o nome do host para detectar se está sendo executado em um ambiente virtual ou sandbox de análise, caso em que sairá.

A versão do EvilExtractor implantada nesses ataques apresenta os seguintes módulos:

O módulo de roubo de dados do EvilExtractor baixará três componentes adicionais em Python chamados "KK2023.zip", "Confirm.zip" e "MnMs.zip".

O primeiro programa extrai cookies do Google Chrome, Microsoft Edge, Opera e Firefox, além de coletar histórico de navegação e senhas salvas de um conjunto ainda mais extenso de programas.

O segundo módulo é um keylogger que registra as entradas do teclado da vítima e as salva em uma pasta local para serem exfiltradas posteriormente.

O terceiro arquivo é um extrator de webcam, o que significa que ele pode ativar secretamente a webcam, capturar vídeo ou imagens e enviar os arquivos para o servidor FTP do atacante, que a Kodex aluga.

O malware também exfiltra muitos tipos de arquivos de documentos e mídia das pastas Desktop e Downloads, captura capturas de tela e envia todos os dados roubados para seus operadores.

O módulo de 'ransomware Kodex' está aninhado no loader e, se ativado, baixa um arquivo adicional ("zzyy.zip") do site do produto.

É uma ferramenta de bloqueio de arquivos simples, mas eficaz, que abusa do 7-Zip para criar um arquivo protegido por senha contendo os arquivos da vítima, impedindo efetivamente o acesso a eles sem a senha.

A Fortinet adverte que o desenvolvedor do EvilExtractor, Kodex, adicionou várias funcionalidades à ferramenta desde seu lançamento inicial em outubro de 2022 e continua a atualizá-la para torná-la mais potente e estável.

As detecções indicam que o EvilExtractor está ganhando força na comunidade de cibercrime, por isso os usuários são aconselhados a permanecer vigilantes contra e-mails não solicitados.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...