Les chercheurs constatent une augmentation des attaques diffusant l’outil de vol de données EvilExtractor, utilisé pour voler les données sensibles des utilisateurs en Europe et aux États-Unis.

EvilExtractor est vendu par une société nommée Kodex pour 59 $/mois, comprenant sept modules d’attaque, y compris les ransomwares, l’extraction des informations d’identification et le contournement de Windows Defender.

Bien que commercialisé comme un outil légitime, Breachtrace a appris qu’EvilExtractor est principalement promu aux acteurs de la menace sur les forums de piratage.

« Recorded Future a observé pour la première fois la vente d’Evil Extractor sur les forums Cracked et Nulled en octobre 2022 », a déclaré Allan Liska, analyste des renseignements sur les menaces chez Recorded Future, à Breachtrace .

D’autres chercheurs en sécurité surveillent également le développement et les attaques malveillantes à l’aide d’Evil Extractor, partageant leurs découvertes sur Twitter depuis février 2022.

Fortinet rapporte que les cybercriminels utilisent EvilExtractor comme un logiciel malveillant voleur d’informations dans la nature.

Sur la base des statistiques d’attaque collectées par la société de cybersécurité, le déploiement d’EvilExtractor a augmenté en mars 2023, la plupart des infections provenant d’une campagne de phishing liée.

Propagation des attaques de phishing
Fortinet affirme que les attaques qu’ils ont observées ont commencé par un e-mail de phishing déguisé en demande de confirmation de compte, contenant une pièce jointe exécutable compressée en gzip. Cet exécutable est créé pour apparaître comme un fichier PDF ou Dropbox légitime, mais en réalité, il s’agit d’un programme exécutable Python.

Lorsque la cible ouvre le fichier, un fichier PyInstaller est exécuté et lance un chargeur .NET qui utilise un script PowerShell codé en base64 pour lancer un exécutable EvilExtractor.

Lors du premier lancement, le logiciel malveillant vérifiera l’heure du système et le nom d’hôte pour détecter s’il s’exécute dans un environnement virtuel ou un bac à sable d’analyse, auquel cas il se fermera.

La version EvilExtractor déployée dans ces attaques comporte les modules suivants :

  • Vérification de la date et de l’heure
  • Anti-bac à sable
  • Anti-MV
  • Anti-Scanner
  • Réglage du serveur FTP
  • Voler des données
  • Télécharger des données volées
  • Effacer le journal
  • Logiciels de rançon

Le module de vol de données EvilExtractor téléchargera trois composants Python supplémentaires nommés « KK2023.zip », « Confirm.zip » et « MnMs.zip ».

Le premier programme extrait les cookies de Google Chrome, Microsoft Edge, Opera et Firefox et collecte également l’historique de navigation et les mots de passe enregistrés à partir d’un ensemble de programmes encore plus étendu.

Le deuxième module est un enregistreur de frappe qui enregistre les entrées au clavier de la victime et les enregistre dans un dossier local pour être exfiltrées ultérieurement.

Le troisième fichier est un extracteur de webcam, ce qui signifie qu’il peut secrètement activer la webcam, capturer des vidéos ou des images et télécharger les fichiers sur le serveur FTP de l’attaquant, que Kodex loue.

Le logiciel malveillant exfiltre également de nombreux types de documents et de fichiers multimédias des dossiers Bureau et Téléchargements, capture des captures d’écran et envoie toutes les données volées à ses opérateurs.

Le module ‘Kodex ransomware’ est imbriqué dans le chargeur et, s’il est activé, télécharge un fichier supplémentaire (« zzyy.zip ») depuis le site Web du produit.

C’est un outil de verrouillage de fichiers simple mais efficace qui abuse de 7-Zip pour créer une archive protégée par mot de passe contenant les fichiers de la victime, empêchant efficacement l’accès à ceux-ci sans le mot de passe.

Fortinet avertit que le développeur d’EvilExtractor, Kodex, a ajouté plusieurs fonctionnalités à l’outil depuis sa sortie initiale en octobre 2022 et continue de le mettre à niveau pour le rendre plus puissant et stable.

Dans la nature, les détections indiquent qu’EvilExtractor gagne du terrain dans la communauté de la cybercriminalité, il est donc conseillé aux utilisateurs de rester vigilants face aux e-mails non sollicités.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *