Evil hacker

研究者は、ヨーロッパと米国でユーザーの機密データを盗むために使用される EvilExtractor データ盗難ツールを広める攻撃の増加を確認しています

EvilExtractor は Kodex という会社から月額 59 ドルで販売されており、ランサムウェア、資格情報の抽出、 Windows Defender のバイパスなど、7 つの攻撃モジュールが特徴です。

コーデックスのウェブサイト
コーデックスのウェブサイト()

EvilExtractor は正当なツールとして販売されていますが、主にハッキング フォーラムで脅威アクターに宣伝されていると言われています。

「Recorded Future は、2022 年 10 月に Cracked および Nulled フォーラムで Evil Extractor が販売されていることを初めて確認しました」と、Recorded Future の脅威インテリジェンス アナリストであるAllan Liska 氏は語っています。

他のセキュリティ研究者も Evil Extractor を使用して開発と悪意のある攻撃を監視しており、2022 年 2 月以降、 その発見を Twitter で共有しています

Fortinet は、サイバー犯罪者が情報を盗むマルウェアとして EvilExtractor を実際に使用していると報告しています

サイバーセキュリティ会社が収集した攻撃統計に基づくと、EvilExtractor の展開は 2023 年 3 月に急増し、ほとんどの感染はリンクされたフィッシング キャンペーンから発生しています。

フィッシング攻撃で広がる

Fortinet によると、彼らが観察した攻撃は、gzip で圧縮された実行ファイルが添付された、アカウント確認要求を装ったフィッシング メールから始まったという。この実行可能ファイルは、正規の PDF または Dropbox ファイルに見えるように作成されていますが、実際には Python 実行可能プログラムです。

ターゲットがファイルを開くと、PyInstaller ファイルが実行され、base64 でエンコードされた PowerShell スクリプトを使用して EvilExtractor 実行可能ファイルを起動する .NET ローダーが起動します。

最初の起動時に、マルウェアはシステム時刻とホスト名をチェックして、仮想環境または分析サンドボックスで実行されているかどうかを検出し、その場合は終了します。

.NET ローダーのコード
.NET ローダーのコード(Fortinet)

これらの攻撃で展開されたバージョンの EvilExtractor には、次のモジュールが含まれています。

  • 日時確認
  • アンチサンドボックス
  • アンチ VM
  • アンチスキャナー
  • FTPサーバー設定
  • データを盗む
  • 盗まれたデータをアップロードする
  • ログをクリア
  • ランサムウェア

EvilExtractor データ盗用モジュールは、「KK2023.zip」、「Confirm.zip」、「MnMs.zip」という名前の 3 つの追加の Python コンポーネントをダウンロードします。

最初のプログラムは、Google Chrome、Microsoft Edge、Opera、Firefox から Cookie を抽出し、さらに広範なプログラム セットから閲覧履歴と保存されたパスワードを収集します。

2 つ目のモジュールは、被害者のキーボード入力を記録し、ローカル フォルダに保存して後で抽出できるようにするキー ロガーです。

3 番目のファイルは Webcam Extractor で、Webcam を秘密裏に起動し、ビデオや画像をキャプチャし、攻撃者の FTP サーバー (Kodex がレンタル) にファイルをアップロードできます。

また、このマルウェアは、デスクトップ フォルダーとダウンロード フォルダーから多くの種類のドキュメントとメディア ファイルを盗み出し、スクリーンショットをキャプチャし、盗んだすべてのデータをオペレーターに送信します。

盗まれたデータを FTP サーバーに流出させる
盗まれたデータを FTP サーバー(Fortinet)に盗み出す

「Kodex ランサムウェア」モジュールはローダーにネストされており、有効にすると、製品の Web サイトから追加のファイル (「zzyy.zip」) をダウンロードします。

これは、7-Zip を悪用して、被害者のファイルを含むパスワードで保護されたアーカイブを作成し、パスワードなしでのアクセスを効果的に防止する、シンプルでありながら効果的なファイル ロック ツールです。

ランサムウェアに関するメモ
Kodex ランサムウェアに関する注意事項(Fortinet)

Fortinet は、EvilExtractor の開発者である Kodex が、2022 年 10 月の最初のリリース以来、ツールにいくつかの機能を追加し、より強力で安定したものにするためにアップグレードを続けていることを警告しています。

実際の検出は、EvilExtractor がサイバー犯罪コミュニティで注目を集めていることを示しているため、ユーザーは未承諾の電子メールに対して警戒を怠らないようにすることをお勧めします。