พบการโจมตีของ EvilExtractor พุ่งสูงขึ้นในยุโรป และสหรัฐอเมริกา

นักวิจัยด้านความปลออดภัยรายงานการเพิ่มขึ้นของ EvilExtractor ซึ่งเป็นมัลแวร์ที่ใช้ในการขโมยข้อมูล โดยพบการเพิ่มขึ้นเป็นอย่างสูงในยุโรป และสหรัฐอเมริกา ในช่วงระหว่างเดือนมีนาคม 2023 ที่ผ่านมา โดยการโจมตีส่วนใหญ่เริ่มจาก phishing campaign

EvilExtractor เป็น Hacking tool ที่ใช้สำหรับการขโมยข้อมูล ซึ่งถูกนำมาขายใน hacking forums โดยกลุ่ม Hacker ที่ชื่อ Kodex ในราคา $59/เดือน โดยถูกพบครั้งแรกบน Cracked and Nulled forums ในเดือนตุลาคม 2022

การโจมตี

Fortinet ได้เผยแพร่รายละเอียดการโจมตีไว้ดังนี้

• เริ่มจากการส่ง Phishing Email ที่ปลอมแปลงเป็นคำขอยืนยันบัญชี โดยมีไฟล์แนบที่ถูกบีบอัดด้วย gzip
• เมื่อทำการเปิดไฟล์ gzip จะปรากฏไฟล์ PDF หรือไฟล์ Dropbox ที่ฝัง PyInstaller ซึ่งจะทำการเรียกใช้งาน .NET loader ที่เข้ารหัสแบบ base64 เพื่อเรียกใช้ PowerShell script ในการสั่งงาน EvilExtractor
• เมื่อ EvilExtractor ถูกเรียกใช้งาน มันจะทำการตรวจสอบเวลาของระบบ และชื่อโฮสต์เพื่อตรวจหาว่ามันกำลังทำงานใน VM หรือ sandbox อยู่หรือไม่ หากตรวจพบว่าทำงานอยู่ในสภาพแวดล้อมดังกล่าว มันจะหยุดการทำงานทันที

EvilExtractor จะประกอบไปด้วยโมดูลในการโจมตีต่างๆ เหล่านี้ :

• การตรวจสอบวันเวลา
• Anti-Sandbox
• Anti-VM
• Anti-Scanner
• การตั้งค่าเซิร์ฟเวอร์ FTP
• การขโมยข้อมูล
• การอัปโหลดข้อมูลที่ถูกขโมย
• การลบ log
• การเรียกใช้ Ransomware

นอกจากนี้โมดูลในการขโมยข้อมูลของ EvilExtractor จะมีการดาวน์โหลดส่วนประกอบ Python เพิ่มเติมสามรายการได้แก่

KK2023.zip ทำหน้าที่คัดแยกคุกกี้จาก Google Chrome, Microsoft Edge, Opera และ Firefox รวมถึงรวบรวมประวัติการเข้าใช้งานเว็บไซต์ และรหัสผ่านที่บันทึกไว้

Confirm.zip ทำหน้าที่เป็น key logger ในการเก็บรวบรวมข้อมูลการพิมพ์คีย์บอร์ดของเป้าหมาย และบันทึกไว้ในโฟลเดอร์ในเครื่องเพื่อส่งออกในภายหลัง

MnMs.zip ทำหน้าที่เปิดใช้งานเว็บแคมอย่างลับ ๆ จับภาพวิดีโอ หรือรูปภาพ และอัปโหลดไฟล์ไปยังเซิร์ฟเวอร์ FTP ของ Hacker

โดย EvilExtractor จะทำการรวบรวมไฟล์เอกสาร และไฟล์สื่อประเภทต่าง ๆ จาก Desktop และ Downloads folder รวมไปถึง capture screenshot และส่งข้อมูลที่ถูกขโมยทั้งหมดไปยังเซิร์ฟเวอร์ของ Hacker

รวมไปถึงยังพบโมดูลเข้ารหัสข้อมูล Kodex ransomware ที่ถูกดาวน์โหลดเพิ่มเติมมาใน zzyy.zip ซึ่งเป็นเครื่องมือเข้ารหัสไฟล์โดยการใช้ 7-Zip และใส่รหัสผ่าน เพื่อไม่ให้เหยื่อสามารถเปิดไฟล์ได้

Fortinet ได้พบว่า Kodex ซึ่งเป็นกลุ่ม Hacker ที่เป็นผู้พัฒนา EvilExtractor ได้เพิ่มคุณสมบัติหลายอย่างให้กับเครื่องมือโจมตีดังกล่าว ตั้งแต่เปิดตัวครั้งแรกในเดือนตุลาคม 2022 จนถึงปัจจุบัน เพื่อให้มีประสิทธิภาพในการโจมตีมากยิ่งขึ้น และปัจจุบัน EvilExtractor ก็ได้ถูก Hacker กลุ่มต่าง ๆ นำไปใช้ในการโจมตีเพิ่มขึ้นอย่างต่อเนื่อง

ที่มา : www.bleepingcomputer.com