Araştırmacılar, Avrupa ve ABD’de kullanıcıların hassas verilerini çalmak için kullanılan EvilExtractor veri hırsızlığı aracını yayan saldırılarda artış görüyor.
EvilExtractor, Fidye yazılımı, kimlik bilgileri çıkarma ve Windows Defender atlama dahil olmak üzere yedi saldırı modülü içeren Kodex adlı bir şirket tarafından ayda 59 ABD dolarına satılıyor.
Meşru bir araç olarak pazarlanan BleepingComputer’a, EvilExtractor’ın öncelikle bilgisayar korsanlığı forumlarında tehdit aktörlerine terfi ettirildiği söylendi.
“Recorded Future, Evil Extractor’ın Cracked ve Nulled forumlarında satıldığını ilk olarak Ekim 2022’de gözlemledi.” Alan LiskaRecorded Future’da bir tehdit istihbarat analisti olan BleepingComputer’a söyledi.
Diğer güvenlik araştırmacıları da Evil Extractor kullanarak geliştirme ve kötü amaçlı saldırıları izliyorlar. bulgularını paylaşmak Şubat 2022’den beri Twitter’da.
Fortinet, siber suçluların EvilExtractor’ı vahşi ortamda bilgi çalan bir kötü amaçlı yazılım olarak kullandığını bildirdi.
Siber güvenlik şirketi tarafından toplanan saldırı istatistiklerine göre, EvilExtractor’ın konuşlandırılması Mart 2023’te zirve yaptı ve bulaşmaların çoğu bağlantılı bir kimlik avı kampanyasından geldi.
Oltalama saldırılarında yayılma
Fortinet, gözlemledikleri saldırıların, gzip ile sıkıştırılmış yürütülebilir bir ek taşıyan, hesap doğrulama isteği kılığına girmiş bir kimlik avı e-postasıyla başladığını söylüyor. Bu yürütülebilir dosya, meşru bir PDF veya Dropbox dosyası olarak görünmek için yaratılmıştır, ancak gerçekte Python yürütülebilir bir programdır.
Hedef dosyayı açtığında, bir PyInstaller dosyası yürütülür ve bir EvilExtractor yürütülebilir dosyasını başlatmak için base64 kodlu bir PowerShell betiği kullanan bir .NET yükleyicisini başlatır.
İlk başlatmanın ardından kötü amaçlı yazılım, sanal bir ortamda mı yoksa analiz sanal alanında mı çalıştığını algılamak için sistem saatini ve ana bilgisayar adını kontrol edecek ve bu durumda sistemden çıkacaktır.
Bu saldırılarda dağıtılan EvilExtractor sürümü aşağıdaki modülleri içerir:
- Tarih saat kontrolü
- Anti-Sandbox
- Sanal Makine Karşıtı
- Anti-Tarayıcı
- FTP sunucusu ayarı
- Veri çalmak
- Çalınan verileri yükle
- Günlüğü temizle
- Fidye yazılımı
EvilExtractor veri çalma modülü, “KK2023.zip”, “Confirm.zip” ve “MnMs.zip” adlı üç ek Python bileşeni indirecektir.
İlk program, Google Chrome, Microsoft Edge, Opera ve Firefox’tan çerezleri ayıklar ve ayrıca tarama geçmişini ve daha da kapsamlı programlardan kayıtlı şifreleri toplar.
İkinci modül, kurbanın klavye girişlerini kaydeden ve bunları daha sonra dışarı sızmak üzere yerel bir klasöre kaydeden bir tuş kaydedicidir.
Üçüncü dosya bir web kamerası çıkarıcıdır, yani web kamerasını gizlice etkinleştirebilir, video veya görüntü yakalayabilir ve dosyaları saldırganın Kodex’in kiraladığı FTP sunucusuna yükleyebilir.
Kötü amaçlı yazılım ayrıca Masaüstü ve İndirilenler klasörlerinden birçok belge ve medya dosyası türünü sızdırır, ekran görüntülerini yakalar ve çalınan tüm verileri operatörlerine gönderir.
‘Kodex fidye yazılımı’ modülü yükleyiciye yerleştirilmiştir ve etkinleştirilirse ürünün web sitesinden ek bir dosya (“zzyy.zip”) indirir.
Kurbanın dosyalarını içeren parola korumalı bir arşiv oluşturmak için 7-Zip’i kötüye kullanan ve bu dosyalara parola olmadan erişimi etkili bir şekilde engelleyen basit ama etkili bir dosya kilitleme aracıdır.
Fortinet, EvilExtractor’ın geliştiricisi Kodex’in araca Ekim 2022’deki ilk sürümünden bu yana çeşitli özellikler eklediğini ve aracı daha güçlü ve kararlı hale getirmek için yükseltmeye devam ettiği konusunda uyarıyor.
Vahşi tespitler, EvilExtractor’ın siber suç topluluğunda çekiş kazandığını gösteriyor, bu nedenle kullanıcılara istenmeyen e-postalara karşı uyanık olmaları tavsiye ediliyor.