EvilExtractor (иногда пишется Evil Extractor) - это инструмент атаки, предназначенный для атак на операционные системы Windows и извлечения данных и файлов с конечных устройств. Он включает в себя несколько модулей, которые работают через службу FTP. Он был разработан компанией Kodex, которая утверждает, что это образовательный инструмент. Однако исследования, проведенные FortiGuard Labs, показывают, что киберпреступники активно используют его для кражи информации.
EvilExtractor
Согласно данным FortiGuard Labs об источниках трафика на хосте evilextractor[.]com, вредоносная активность значительно возросла в марте 2023 года. FortiGuard Labs обнаружила эту вредоносную программу в фишинговой почтовой кампании 30 марта, которую мы отследили по образцам, включенным в этот блог. Обычно она притворяется легитимным файлом, например, Adobe PDF или файлом Dropbox, но после загрузки начинает использовать вредоносные действия PowerShell. Он также содержит функции проверки окружения и Anti-VM. Его основная цель, похоже, заключается в краже данных браузера и информации со взломанных конечных точек и последующей загрузке их на FTP-сервер злоумышленника.
Недавно FortiGuard Labs проанализировали версию вредоносной программы, которая была внедрена в систему жертвы, и в рамках этого анализа определили, что большинство ее жертв находятся в Европе и Америке. Разработчик выпустил свой проект в октябре 2022 года и постоянно обновлял его для повышения стабильности и усиления модуля.
Фишинговое письмо с вредоносным вложением замаскировано под запрос на подтверждение учетной записи. Злоумышленник также обманывает жертву, используя иконку Adobe PDF для распакованного файла.
Файл выполнения представляет собой программу на языке Python, упакованную PyInstaller. FortiGuard Labs извлекли его с помощью pyinstxtractor и обнаружили, что строка "PYARMOR" в его основном кодовом файле "contain.pyc", является обфускационным инструментом для Python-скрипта, который затрудняет анализ и обнаружение вредоносной программы.
В дополнение к программе на Python, FortiGuard Labs наблюдали загрузчик .NET, который может извлекать EvilExtractor. Он содержит Base64-кодированные данные, которые представляют собой сценарий PowerShell. Этот файл выполнения сгенерирован с помощью инструмента "PS2EXE-GUI", который может преобразовывать сценарии PowerShell в файлы EXE.
После расшифровки файла pyc получаем первичный код EvilExtractor. Он представляет собой сценарий PowerShell, содержащий следующие модули:
- Проверка времени даты
- Anti-Sandbox
- Anti-VM
- Анти-сканер
- Настройка FTP-сервера
- Кража данных
- Загрузка украденных данных
- Очистить журнал
Сначала проверяется, находится ли дата в системе между 2022-11-09 и 2023-04-12. Если нет, он использует следующую команду для удаления данных в PSReadline и завершает работу:
| 1 | DEL \"$env:APPDATA\Microsoft\Windows\PowerShell\PSReadline\*\*\" -Force -Recurse |
Затем он сравнивает модель продукта, чтобы увидеть, соответствует ли она любому из следующих: VirtualBox, VMWare, Hyper-V, Parallels, Oracle VM VirtualBox, Citrix Hypervisor, QEMU, KVM, Proxmox VE или Docke. Он также сверяет имя хоста жертвы с 187 именами из машин VirusTotal или других сканеров/виртуальных машин.
После прохождения проверки окружения EvilExtractor загружает три компонента с http://193[.]42[.]33[.]232, используемые для кражи данных. Эти файлы также представляют собой программы на языке Python, обфусцированные с помощью PyArmor. Первый из них - "KK2023.zip", который используется для кражи данных браузера и сохранения их в папке "IMP_Data". Он может извлекать файлы cookie из Google Chrome, Microsoft Edge, Opera и Firefox.
Второй файл - "Confirm.zip". Это регистратор ключей, который сохраняет данные в папке "KeyLogs". Последний файл, "MnMs.zip", представляет собой экстрактор веб-камеры.
EvilExtractor также собирает системную информацию с помощью сценария PowerShell.
EvilExtractor загружает файлы с определенными расширениями из папок Desktop и Download, включая jpg, png, jpeg, mp4, mpeg, mp3, avi, txt, rtf, xlsx, docx, pptx, pdf, rar, zip, 7z, csv, xml и html. Также используется команда "CopyFromScreen" для создания снимка экрана.
После того, как EvilExtractor извлекает все данные со взломанной конечной точки, он загружает их на FTP-сервер злоумышленника. Разработчик EvilExtractor также предоставляет FTP-сервер для тех, кто приобретает его вредоносное ПО.
EvilExtractor также имеет функцию выкупа. Она называется "Kodex Ransomware".
Он загружает файл "zzyy.zip" с сайта evilextractor[.]com. Детали разархивированного файла - автономной консоли 7-zip.Он использует "7za.exe" для шифрования файлов с параметром "-p", что означает зашифровку файлов с паролем. Он также генерирует сообщение с требованием выкупа, сохраненное в файле "KodexRansom".
Indicators of Compromise
IPv4
- 193.42.33.232
- 45.87.81.184
Domains
- evilextractor.com
URLs
- http://193.42.33.232
SHA256
- 023548a5ce0de9f8b748a2fd8c4d1ae6c924c40acbde32e9599c868115d11f4e
- 17672795fb0c8df81ab33f5403e0e8ed15f4b2ac1e8ac9fef1fec4928387a36d
- 352efd1645982b8d23a841107007c8b4b024eb6bb5d6b312e5783ce4aa62b685
- 75688c32a3c1f04df0fc02491180c8079d7fdc0babed981f5860f22f5e118a5e
- 826c7c112dd1ae80469ef81f5066003d7691a349e6234c8f8ca9637b0984fc45
- b1ef1654839b73f03b73c4ef4e20ce4ecdef2236ec6e1ca36881438bc1758dcd
