Luego de un sofisticado trabajo de investigación, profesionales de la seguridad vieron un notable crecimiento en los ataques realizados por el uso del malware “EvilExtractor”. Dicha herramienta, que se promociona principalmente entre los actores de amenazas en los foros de piratería, se comercializa a través de una empresa llamada Kode, que si bien, se presenta como una herramienta legítima, la misma se utiliza para robar datos confidenciales de los usuarios a través de diversos módulos de ataques entre los que se destacan: ransomware, extracción de credenciales y la elusión de Windows Defender.

Metodología de ataque

En base a las estadísticas brindadas por la empresa Fortinet, los ataques comenzaron con un correo electrónico de phishing disfrazado de una solicitud de confirmación de cuenta mediante la cual, se adjunta un archivo PDF enmascarando un programa ejecutable de Python que al ser ejecutado por la víctima, inicia un cargador .NET que utiliza un script de PowerShell codificado en base64 para iniciar el ejecutable de EvilExtractor.

Código del cargador .NET (Fortinet)

Esta metodología de codificación (base64) sirve para ocultar su contenido y evitar ser detectado por sistemas de seguridad que monitorean el tráfico de red. Una vez ejecutado el Malware, presenta siete módulos de ataques:

  • Comprobación de fecha y hora
  • Anti-Sandbox
  • Anti-VM
  • Antiescáner
  • Configuración del Servidor FTP
  • Robar datos
  • Subir Datos robados
  • Borrar registro
  • Secuestro de datos

Luego de la comprobación de fecha y hora, expone su capacidad de verificación de entorno para ver si se está ejecutando en una máquina virtual o si se encuentra limitado de análisis en cuyo caso se cerrará.

Ex filtración de datos robados al servidor FTP (Fortinet)

En lo que respecta al módulo de robo de datos, el mismo se da mediante la descarga de tres archivos de Python por parte de EvilExtractor (KK2023.zip, Confirm.zip, MnMs.zip), los cuales realizan tareas de extracción de información, incluyendo cookies de navegación, contraseñas guardadas, archivos multimedia, documentos, registrador de teclas de entrada de la víctima y por último un extractor de cámara web para capturar imágenes/videos y cargar los archivos en el servidor FTP del atacante.

Nota de ransomware Kodex (Fortinet)

El módulo de ransomware, en interacción directa con el sitio web del producto, una vez que se activa, descarga un archivo adicional (zzyy.zip) que bloquea todos los documentos de la víctima explotando (7-zip) para crear un archivo protegido con contraseña.

Según los especialistas de Fortinet, desde la propagación de EvilExtrator, kodex ha estado realizando continuas actualizaciones, lo que la ha vuelto más fuerte y estable para llevar a cabo delitos cibernéticos, por lo que aconsejan ser sumamente cautelosos en la recepción de correos electrónicos.

Fuente:

https://www.bleepingcomputer.com/news/security/evilextractor-malware-activity-spikes-in-europe-and-the-us/