พบการโจมตีของ EvilExtractor พุ่งสูงขึ้นในยุโรป และสหรัฐอเมริกา

นักวิจัยด้านความปลออดภัยรายงานการเพิ่มขึ้นของ EvilExtractor ซึ่งเป็นมัลแวร์ที่ใช้ในการขโมยข้อมูล โดยพบการเพิ่มขึ้นเป็นอย่างสูงในยุโรป และสหรัฐอเมริกา ในช่วงระหว่างเดือนมีนาคม 2023 ที่ผ่านมา โดยการโจมตีส่วนใหญ่เริ่มจาก phishing campaign

EvilExtractor เป็น Hacking tool ที่ใช้สำหรับการขโมยข้อมูล ซึ่งถูกนำมาขายใน hacking forums โดยกลุ่ม Hacker ที่ชื่อ Kodex ในราคา $59/เดือน โดยถูกพบครั้งแรกบน Cracked and Nulled forums ในเดือนตุลาคม 2022

การโจมตี

Fortinet ได้เผยแพร่รายละเอียดการโจมตีไว้ดังนี้

เริ่มจากการส่ง Phishing Email ที่ปลอมแปลงเป็นคำขอยืนยันบัญชี โดยมีไฟล์แนบที่ถูกบีบอัดด้วย gzip
เมื่อทำการเปิดไฟล์ gzip จะปรากฏไฟล์ PDF หรือไฟล์ Dropbox ที่ฝัง PyInstaller ซึ่งจะทำการเรียกใช้งาน .NET loader ที่เข้ารหัสแบบ base64 เพื่อเรียกใช้ PowerShell script ในการสั่งงาน EvilExtractor
เมื่อ EvilExtractor ถูกเรียกใช้งาน มันจะทำการตรวจสอบเวลาของระบบ และชื่อโฮสต์เพื่อตรวจหาว่ามันกำลังทำงานใน VM หรือ sandbox อยู่หรือไม่ หากตรวจพบว่าทำงานอยู่ในสภาพแวดล้อมดังกล่าว มันจะหยุดการทำงานทันที

EvilExtractor จะประกอบไปด้วยโมดูลในการโจมตีต่างๆ เหล่านี้ :

การตรวจสอบวันเวลา
Anti-Sandbox
Anti-VM
Anti-Scanner
การตั้งค่าเซิร์ฟเวอร์ FTP
การขโมยข้อมูล
การอัปโหลดข้อมูลที่ถูกขโมย
การลบ log
การเรียกใช้ Ransomware

นอกจากนี้โมดูลในการขโมยข้อมูลของ EvilExtractor จะมีการดาวน์โหลดส่วนประกอบ Python เพิ่มเติมสามรายการได้แก่

KK2023.zip ทำหน้าที่คัดแยกคุกกี้จาก Google Chrome, Microsoft Edge, Opera และ Firefox รวมถึงรวบรวมประวัติการเข้าใช้งานเว็บไซต์ และรหัสผ่านที่บันทึกไว้

Confirm.