Malware Evil Extractor

Según los informes de ciberseguridad, recientemente ha habido un aumento en los ataques que utilizan una herramienta de robo de datos conocida como EvilExtractor o Evil Extractor. Esta herramienta está diseñada para robar datos confidenciales de los usuarios y se utiliza tanto en Europa como en los EE. UU. La herramienta EvilExtractor la vende una empresa llamada Kodex por 59 dólares al mes. La herramienta tiene siete módulos de ataque diferentes, que incluyen ransomware, extracción de credenciales y omisión de Windows Defender. Si bien Kodex comercializa EvilExtractor como una herramienta legítima, la evidencia sugiere que se promociona principalmente entre los ciberdelincuentes en foros de piratería.

Los ciberdelincuentes están implementando EvilExtractor como un malware que roba información en la naturaleza. Según un informe publicado por una empresa de ciberseguridad, los ataques que utilizan EvilExtractor han aumentado desde principios de 2023. Los actores de amenazas han establecido una campaña de phishing vinculada como una forma de infectar a los objetivos.

EvilExtractor se entrega a través de correos electrónicos de phishing

Los ataques de EvilExtractor comienzan con un correo electrónico de phishing que está diseñado para aparecer como una solicitud de confirmación de cuenta. El correo electrónico contenía un archivo adjunto ejecutable comprimido, disfrazado como un archivo PDF o Dropbox legítimo. Sin embargo, al abrir el archivo adjunto, se inició un programa ejecutable de Python.

Este programa utiliza un archivo PyInstaller para ejecutar un cargador .NET que, a su vez, activa un script PowerShell codificado en base64 para iniciar el ejecutable EvilExtractor. Al iniciarse, el malware verifica el nombre de host y la hora del sistema violado para detectar si se está ejecutando en un entorno virtual o en un entorno limitado de análisis. Si detecta dicho entorno, la amenaza de malware finaliza su ejecución.

La versión de EvilExtractor utilizada en estos ataques incluye un total de siete módulos distintos. Cada módulo es responsable de una función específica, como verificación de fecha y hora, anti-sandbox, anti-VM, anti-escáner, configuración del servidor FTP, robo de datos, carga de datos, borrado de registros e incluso uno con capacidades de ransomware.

EvilExtractor Malware puede filtrar datos confidenciales o actuar como ransomware

El malware EvilExtractor contiene un módulo de robo de datos que descarga tres componentes adicionales de Python llamados 'KK2023.zip', 'Confirm.zip' y 'MnMs.zip'.

El primer componente extrae cookies de navegadores populares como Google Chrome, Microsoft Edge, Opera y Firefox. Además, recopila el historial de navegación y las contraseñas guardadas de un amplio conjunto de programas.

El segundo componente funciona como un registrador de teclas, graba las entradas del teclado de la víctima y las guarda en una carpeta local para recuperarlas más tarde.

El tercer componente es un extractor de cámara web que puede activar la cámara web en silencio, capturar videos o imágenes y cargarlos en el servidor FTP del atacante, que es alquilado por Kodex.

El malware también roba documentos y archivos multimedia de las carpetas de descargas y escritorio de la víctima, captura capturas de pantalla arbitrarias y extrae todos los datos recopilados a sus operadores.

El módulo de ransomware del malware está anidado dentro del cargador y, cuando se activa, descarga un archivo adicional llamado 'zzyy.zip' del sitio web del producto. Es una herramienta de bloqueo de archivos que utiliza la aplicación 7-Zip para crear un archivo protegido con contraseña que contiene los archivos de la víctima, evitando efectivamente el acceso a ellos sin la contraseña.