گزارش بدافزار EvilExtractor

محققان شاهد افزایش حملات در پی گسترش ابزار سرقت اطلاعات EvilExtractor هستند که برای سرقت اطلاعات حساس کاربران استفاده می شود. در حالی که به عنوان یک ابزار قانونی به بازار عرضه می شود، شرکت Fortinet نیز در گزارشی اعلام کرده است که مجرمان سایبری از EvilExtractor به عنوان یک بدافزار سرقت اطلاعات استفاده می کنند. EvilExtractor  که از ۲۲ اکتبر ۲۰۲۲ توسط کاربری به نام Kodex در انجمن‌های جرایم سایبری مانند  Cracked به فروش می‌رسد. این بدافزار مدام به‌روزرسانی شده و دارای ماژول‌های گوناگونی برای استخراج فراداده‌های سیستم، رمزعبورها و کوکی‌های چندین مرورگر وب و همچنین ثبت کردن ضربه کلیدها و حتی عمل کردن به‌عنوان یک باج‌افزار از طریق رمزگذاری فایل‌های سیستم هدف می‌باشد. همچنین فورتی‌نت گفته است این بدافزار به‌عنوان بخشی از یک کارزار فیشینگ ایمیل استفاده شده که در ۳۰ مارس ۲۰۲۳ شناسایی شده است. ایمیل‌های این کارزار، گیرنده را فریب می‌دهند تا یک فایل اجرایی را که در قالب یک سند PDF مخفی شده است به‌بهانه‌ی تأیید جزئیات حساب‌شان اجرا کند. باینری Account-info.exe یک برنامه‌ی پایتون مبهم است که به‌گونه‌ای طراحی شده که یک بارگذار .NET  را اجرا کند که از اسکریپت Base64-encoded PowerShell برای اجرای EvilExtractor استفاده می‌کند. این بدافزار علاوه بر جمع‌آوری فایل‌ها می‌تواند وبکم را نیز فعال کند و اسکرین‌شات بگیرد. همچنین ذکر شده است که EvilExtractor  به‌عنوان یک سارق اطلاعات جامع با ویژگی‌های مخرب متعدد، از جمله قابلیت‌های باج‌افزاری، استفاده می‌شود. اسکریپت PowerShell آن می‌تواند درقالب بارگذار .NET یا PyArmor از شناسایی گذر کند. در مدت زمانی اندک، سازنده‌ی آن چندین عملکرد را به‌روزرسانی کرده و پایداری آن را افزایش داده است. این یافته‌ها درحالی است که واحد مقابله با تهدید Secureworks جزئیات یک کارزار تبلیغ بدافزار و مسموم سازی سئو برای انتشار بدافزار Bumblebee، از طریق فایل‌های نصب تروجان ‌شده‌ی نرم‌افزارهای قانونی را منتشر کرده است.
Bumblebee  اولین بار توسط گروه تحلیل تهدید گوگل و Proofpoint ثبت شد، یک بارگذار ماژولی است که عمدتاً از طریق تکنیک‌های فیشینگ منتشر می‌شود. حدس زده می‌شود می‌شود عاملانی مرتبط به عملیات باج‌افزاری Conti آن را به‌عنوان جایگزینی برای BazarLoader تولید کرده‌اند. در ماه‌های اخیر، پس از اینکه مایکروسافت Macroها را به‌صورت پیشفرض از فایل‌های Office دانلودشده از اینترنت مسدود کرد، استفاده از مسموم‌سازی سئو و تبلیغات مخرب برای هدایت کاربرانی که ابزارهای محبوبی مانند ChatGPT، Cisco AnyConnect، Citrix Workspace و Zoom را جستجو می‌کنند به وبسایت‌های غیرمجاز حاوی فایل‌های نصب آلوده افزایشی شدید داشته است.
در یک رویداد که این شرکت امنیت سایبری تشریح کرده است، عامل تهدید از بدافزار Bumblebee برای کسب نقطه‌ی ورود و پس از سه ساعت حرکت جانبی و پیاده‌سازی Cobalt Strike و نرم‌افزارهای قانونی دسترسی از راه دوری مانند AnyDesk و Dameware استفاده کرده است. این حمله درنهایت پیش از اینکه به مرحله‌ی نهایی باج‌افزار برسد مختل شد. به‌گفته‌ی Secureworksتوصیه شده است که به‌منظور تعدیل این حمله و حملات مشابه، سازمان‌ها باید اطمینان حاصل کنند که فایل‌های نصب نرم‌افزارها و آپدیت‌ها تنها از وبسایت‌های شناخته‌شده و قابل‌اعتماد دانلود شوند. کاربران نباید امتیاز نصب نرم‌افزار و اجرای اسکریپت‌ها روی کامپیوتر خود داشته باشند.

مراجع

https://www.bleepingcomputer.com/news/security/evilextractor-malware-activity-spikes-in-europe-and-the-us/

https://www.fortinet.com/blog/threat-research/evil-extractor-all-in-one-stealer