Attenzione a EvilExtractor: il nuovo malware si diffonde in Europa tramite campagne di phishing

I ricercatori di sicurezza stanno registrando una crescita delle attività di phishing che portano alla diffusione e installazione di EvilExtractor, uno strumento utilizzato per il furto di dati sensibili. Si tratta di uno strumento che viene venduto apparentemente in maniera legittima dalla società Kodex tramite una sottoscrizione di 59 dollari al mese, ma che di fatto viene promosso principalmente dagli attori di minaccia tra le community di hacking.

EvilExtractor è composto da sette moduli di attacco, che comprendono anche ransomware, uno strumento di sottrazione delle credenziali e un meccanismo per aggirare Windows Defender. Sulla base delle statistiche raccolte dalle società di sicurezza informatica, si è registrato un aumento delle implementazioni di EvilExtractor a partire da marzo 2023.

Fortinet in particolare osserva che gli attacchi prendono il via con una mail di phishing mascherata da richiesta di conferma di un account, all'interno della quale si trova un allegato eseguibile compresso con gzip. Questo allegato viene mascherato per apparire come un file PDF o Dropbox, ma si tratta di un eseguibile in Python.

Se il malcapitato cerca di aprire il file, viene eseguito un PyInstaller che avvia un caricatore .NET che, a sua volta, fa uso di uno script PowerShell con codifica base64 per avviare, infine, un eseguibile EvilExtractor. Durante il suo primo avvio il malware controllerà l'ora del sistema e il nome host per verificare se sia in esecuzione in un ambiente virtuale o una sandbox di analisi: nel caso le verifiche dovessero dare esito positivo, il malware si chiuderà.

Se, invece, il malware riconosce di essere in funzione in un ambiente nativo si occuperà allora di scaricare tre componenti Python aggiuntivi: KK2023.zip", "Confirm.zip" e "MnMs.zip". Il primo estrae i cookie dai browser web, la cronologia di navigazione e le password salvate. Il secondo è un keylogger per registrare gli input da tastiera, che vengono salvati in una cartella locale per essere successivamente esfiltrati. Infine il terzo componente è utilizzato per compromettere la webcam, con la possibilità di attivarla di nascosto e acquisire video o immagini da caricare sul server FTP dell'attaccante (eventualmente messo a disposizione a noleggio dalla stessa Kodex).

Il malware può sottrarre diversi tipi di documenti e file multimediali dalle cartelle Desktop e Download, ed è inoltre capace di eseguire screenshot dell'attività dell'utente. Tutti i dati che riesce a raccogliere possono essere inviate ai suoi operatori.

Come indicato in precedenza, esiste anche il modulo ransomware che è nascosto nel loader. Se viene attivato, si occupa di scaricare un file aggiuntivo che abilita gli strumenti per il "sequestro" dei file. Questo avviene in maniera semplice ma efficace, abusando dell'applicazione 7-Zip per creare un archivio protetto da password contenente i file della vittima.

Kodex inoltre sta aggiungendo sempre più funzionalità da quando il malware è stato rilasciato per la prima volta nel mese di ottobre del 2022.