Pesquisadores estão observando um aumento nos ataques que utilizam a ferramenta de roubo de dados EvilExtractor, usada para roubar dados sensíveis dos usuários na Europa e nos Estados Unidos.
A Kodex, empresa que vende o EvilExtractor por $59/mês, oferece sete módulos de ataque, incluindo ransomware, extração de credenciais e bypass do Windows Defender.
Embora seja comercializado como uma ferramenta legítima, foi informado ao BleepingComputer que o EvilExtractor é principalmente promovido para atores de ameaças em fóruns de hacking.
"Allan Liska, analista de inteligência de ameaças da Recorded Future, disse ao BleepingComputer que a Recorded Future observou pela primeira vez o EvilExtractor sendo vendido nos fóruns Cracked e Nulled em outubro de 2022."
Outros pesquisadores de segurança também têm monitorado o desenvolvimento e os ataques maliciosos usando o EvilExtractor, compartilhando suas descobertas no Twitter desde fevereiro de 2022.
A Fortinet relata que os cibercriminosos usam o EvilExtractor como malware de roubo de informações.
Com base nas estatísticas de ataque coletadas pela empresa de segurança cibernética, a implantação do EvilExtractor aumentou em março de 2023, com a maioria das infecções provenientes de uma campanha de phishing vinculada.
A Fortinet diz que os ataques que eles observaram começaram com um e-mail de phishing disfarçado de solicitação de confirmação de conta, carregando um anexo executável compactado gzip.
Este executável é criado para parecer um arquivo PDF ou Dropbox legítimo, mas na realidade é um programa executável Python.
Quando o alvo abre o arquivo, é executado um arquivo PyInstaller e lança um loader .NET que usa um script PowerShell codificado em base64 para lançar um executável EvilExtractor.
Na primeira execução, o malware verificará a hora do sistema e o nome do host para detectar se está sendo executado em um ambiente virtual ou sandbox de análise, caso em que sairá.
A versão do EvilExtractor implantada nesses ataques apresenta os seguintes módulos:
O módulo de roubo de dados do EvilExtractor baixará três componentes adicionais em Python chamados "KK2023.zip", "Confirm.zip" e "MnMs.zip".
O primeiro programa extrai cookies do Google Chrome, Microsoft Edge, Opera e Firefox, além de coletar histórico de navegação e senhas salvas de um conjunto ainda mais extenso de programas.
O segundo módulo é um keylogger que registra as entradas do teclado da vítima e as salva em uma pasta local para serem exfiltradas posteriormente.
O terceiro arquivo é um extrator de webcam, o que significa que ele pode ativar secretamente a webcam, capturar vídeo ou imagens e enviar os arquivos para o servidor FTP do atacante, que a Kodex aluga.
O malware também exfiltra muitos tipos de arquivos de documentos e mídia das pastas Desktop e Downloads, captura capturas de tela e envia todos os dados roubados para seus operadores.
O módulo de 'ransomware Kodex' está aninhado no loader e, se ativado, baixa um arquivo adicional ("zzyy.zip") do site do produto.
É uma ferramenta de bloqueio de arquivos simples, mas eficaz, que abusa do 7-Zip para criar um arquivo protegido por senha contendo os arquivos da vítima, impedindo efetivamente o acesso a eles sem a senha.
A Fortinet adverte que o desenvolvedor do EvilExtractor, Kodex, adicionou várias funcionalidades à ferramenta desde seu lançamento inicial em outubro de 2022 e continua a atualizá-la para torná-la mais potente e estável.
As detecções indicam que o EvilExtractor está ganhando força na comunidade de cibercrime, por isso os usuários são aconselhados a permanecer vigilantes contra e-mails não solicitados.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...