EvilExtractor-Malware

Laut Cybersicherheitsberichten gab es in letzter Zeit eine Zunahme von Angriffen mit einem Datendiebstahl-Tool namens EvilExtractor oder Evil Extractor. Dieses Tool wurde entwickelt, um vertrauliche Benutzerdaten zu stehlen und wird sowohl in Europa als auch in den USA verwendet. Das EvilExtractor-Tool wird von einer Firma namens Kodex für 59 US-Dollar pro Monat verkauft. Das Tool verfügt über sieben verschiedene Angriffsmodule, darunter Ransomware, das Extrahieren von Anmeldeinformationen und das Umgehen von Windows Defender. Während Kodex EvilExtractor als legitimes Tool vermarktet, deutet vieles darauf hin, dass es in erster Linie in Hacking-Foren an Cyberkriminelle weitergegeben wird.

Cyberkriminelle setzen EvilExtractor als Malware in freier Wildbahn ein, die Informationen stiehlt. Laut einem von einem Cybersicherheitsunternehmen veröffentlichten Bericht haben Angriffe mit EvilExtractor seit Anfang 2023 stark zugenommen. Die Angreifer haben eine verknüpfte Phishing-Kampagne eingerichtet, um Ziele zu infizieren.

EvilExtractor wird über Phishing-E-Mails geliefert

Die EvilExtractor-Angriffe beginnen mit einer Phishing-E-Mail, die als Kontobestätigungsanfrage erscheinen soll. Die E-Mail enthielt einen komprimierten ausführbaren Anhang, der als legitime PDF- oder Dropbox-Datei getarnt war. Beim Öffnen des Anhangs wurde jedoch ein ausführbares Python-Programm gestartet.

Dieses Programm verwendet eine PyInstaller-Datei, um einen .NET-Loader auszuführen, der wiederum ein base64-codiertes PowerShell-Skript aktiviert, um die ausführbare EvilExtractor-Datei zu starten. Beim Start überprüft die Malware den Hostnamen und die Uhrzeit des angegriffenen Systems, um festzustellen, ob es in einer virtuellen Umgebung oder einer Analyse-Sandbox ausgeführt wird. Wenn eine solche Umgebung erkannt wird, beendet die Malware-Bedrohung ihre Ausführung.

Die bei diesen Angriffen verwendete Version von EvilExtractor umfasst insgesamt sieben verschiedene Module. Jedes Modul ist für eine bestimmte Funktion verantwortlich, z. B. Datums- und Uhrzeitprüfung, Anti-Sandbox, Anti-VM, Anti-Scanner, FTP-Servereinstellung, Datendiebstahl, Datenupload, Protokolllöschung und sogar eines mit Ransomware-Funktionen.

EvilExtractor-Malware kann sensible Daten exfiltrieren oder als Ransomware fungieren

Die EvilExtractor-Malware enthält ein Datendiebstahlmodul, das drei zusätzliche Python-Komponenten mit den Namen „KK2023.zip“, „Confirm.zip“ und „MnMs.zip“ herunterlädt.

Die erste Komponente extrahiert Cookies aus gängigen Browsern wie Google Chrome, Microsoft Edge, Opera und Firefox. Darüber hinaus sammelt es den Browserverlauf und gespeicherte Passwörter aus einer umfangreichen Reihe von Programmen.

Die zweite Komponente fungiert als Keylogger, zeichnet die Tastatureingaben des Opfers auf und speichert sie in einem lokalen Ordner, um sie später abzurufen.

Die dritte Komponente ist ein Webcam-Extraktor, der die Webcam unbemerkt aktivieren, Videos oder Bilder aufnehmen und auf den von Kodex gemieteten FTP-Server des Angreifers hochladen kann.

Die Malware stiehlt auch Dokumente und Mediendateien aus den Desktop- und Download-Ordnern des Opfers, nimmt willkürliche Screenshots auf und exfiltriert alle gesammelten Daten an ihre Betreiber.

Das Ransomware-Modul der Malware ist in den Loader eingebettet und lädt bei Aktivierung eine zusätzliche Datei mit dem Namen „zzyy.zip“ von der Website des Produkts herunter. Es handelt sich um ein Tool zum Sperren von Dateien, das die 7-Zip-App verwendet, um ein passwortgeschütztes Archiv mit den Dateien des Opfers zu erstellen und so den Zugriff ohne Passwort effektiv zu verhindern.