ظهور EvilExtractor، سارق جدید چندمنظوره برای سیستم‌های ویندوز در دارک وب

یک بدافزار سارق چندمنظوره‌ی جدید به نام EvilExtractor (همچنین Evil Extractor) درحال تبلیغ فروش به سایر عاملان تهدید است تا برای سرقت داده و فایل از سیستم‌های ویندوز به کار رود.

به‌گفته‌ی کارا لین، محقق Fortinet FortiGuard Labs «این بدافزار شامل چندین ماژول است که همگی ازطریق یک سرویس FTP عمل می‌کنند. همچنین این بدافزار شامل عملکردهای بررسی محیط و Anti-VM است. به‌نظر می‌رسد هدف اصلی آن سرقت داده‌ و اطلاعات مرورگر از نقاط پایانی در معرض خطر و سپس بارگزاری آن‌ها روی سرور FTP مهاجم است».

این شرکت امنیت شبکه اعلام کرد که شاهد افزایشی ناگهانی در حملات منتشرکننده‌ی این بدافزار در مارس ۲۰۲۳ بوده است و اکثریت قربانیان مستقر در اروپا و ایالات متحده بوده‌اند. درحالی که EvilExtractor به‌عنوان ابزاری آموزشی تبلیغ می‌شود، عاملان تهدید از آن برای سرقت اطلاعات استفاده می‌کنند.

EvilExtractor که از ۲۲ اکتبر ۲۰۲۲ توسط کاربری به نام Kodex در انجمن‌های جرایم سایبری مانند Cracked به فروش می‌رسد، مدام به‌روزرسانی شده و دارای ماژول‌های گوناگونی برای استخراج فراداده‌های سیستم، رمزعبورها و کوکی‌های چندین مرورگر وب و همچنین ثبت کردن ضربه کلیدها و حتی عمل کردن به‌عنوان یک باج‌افزار از طریق رمزگذاری فایل‌های سیستم هدف می‌باشد.

همچنین گفته می‌شود این بدافزار به‌عنوان بخشی از یک کمپین فیشینگ ایمیل استفاده شده که در ۳۰ مارس ۲۰۲۳ شناسایی شده است. ایمیل‌های این کمپین گیرنده را فریب می‌دهند تا یک فایل اجرایی را که در قالب یک سند PDF مخفی شده است به‌بهانه‌ی تأیید جزئیات حساب‌شان اجرا کند.

باینری Account-info.exe یک برنامه‌ی پایتون مبهم است که به‌گونه‌ای طراحی شده که یک بارگذار .NET را اجرا کند که از اسکریپت Base64-encoded PowerShell برای اجرای EvilExtractor استفاده می‌کند. این بدافزار گذشته از جمع‌آوری فایل‌ها می‌تواند وبکم را نیز فعال کند و اسکرین‌شات بگیرد.

به‌گفته‌ی لین، EvilExtractor به‌عنوان یک سارق اطلاعات جامع با ویژگی‌های مخرب متعدد، از جمله قابلیت‌های باج‌افزاری، استفاده می‌شود. اسکریپت PowerShell آن می‌تواند درقالب بارگذار .NET یا PyArmor از شناسایی بگریزد. در مدت زمانی اندک، سازنده‌ی آن چندین عملکرد را به‌روزرسانی کرده و پایداری آن را افزایش داده است.

این یافته‌ها درحالی است که واحد مقابله با تهدید Secureworks جزئیات یک کمپین تبلیغ بدافزار و مسموم سازی سئو برای انتشار بازگذار بدافزار Bumblebee، از طریق فایل‌های نصب تروجان‌شده‌ی نرم‌افزارهای قانونی را منتشر کرده است.

Bumblebee که اولین بار یک سال قبل توسط گروه تحلیل تهدید گوگل و Proofpoint ثبت شد، یک بارگذار ماژولی است که عمدتاً از طریق تکنیک‌های فیشینگ منتشر می‌شود. گمان می‌شود عاملانی مرتبط به عملیات باج‌افزاری Conti آن را به‌عنوان جایگزینی برای BazarLoader تولید کرده‌اند.

در ماه‌های اخیر، پس از اینکه مایکروسافت Macroها را به‌صورت پیشفرض از فایل‌های Office دانلودشده از اینترنت مسدود کرد، استفاده از مسموم‌سازی سئو و تبلیغات مخرب برای هدایت کاربرانی که ابزارهای محبوبی مانند ChatGPT، Cisco AnyConnect، Citrix Workspace و Zoom را جستجو می‌کنند به وبسایت‌های غیرمجاز حاوی فایل‌های نصب آلوده افزایشی شدید داشته است.

در یک رویداد که این شرکت امنیت سایبری تشریح کرده است، عامل تهدید از بدافزار Bumblebee برای کسب نقطه‌ی ورود و پس از سه ساعت حرکت جانبی و پیاده‌سازی Cobalt Strike و نرم‌افزارهای قانونی دسترسی از راه دوری مانند AnyDesk و Dameware استفاده کرده است. این حمله درنهایت پیش این اینکه به مرحله‌ی نهایی باج‌افزار برسد مختل شد.

به‌گفته‌ی Secureworks، به‌منظور تعدیل این حمله و حملات مشابه، سازمان‌ها باید اطمینان حاصل کنند که فایل‌های نصب نرم‌افزارها و آپدیت‌ها تنها از وبسایت‌های شناخته‌شده و قابل‌اعتماد دانلود شوند. کاربران نباید امتیاز نصب نرم‌افزار و اجرای اسکریپت‌ها روی کامپیوتر خود داشته باشند.