חוקרי סייבר רואים עלייה במתקפות סייבר המפיצות את נוזקת EvilExtractor באירופה ובארה"ב, המשמשת לגניבת נתונים רגישים של משתמשים. נוזקת EvilExtractor נמכרת על ידי חברה בשם Kodex תמורת 59 דולר לחודש וכוללת שבעה מודולי תקיפה כולל כופרה, חילוץ שמות משתמשים וסיסמאות ועקיפת Windows Defender.
אלן ליסקה – מנתח מודיעין איומים בחברת Recorded Future סיפר לאנשי אתר BleepingComputer כי צפה לראשונה כבר באוקטובר 2022 במכירת EvilExtractor בפורומים של פשעי סייבר Cracked ו- Nulled. חוקרי אבטחת מידע אחרים עוקבים גם הם אחר הפיתוח והמתקפות הזדוניות באמצעות EvilExtractor ומשתפים את הממצאים שלהם בטוויטר מאז פברואר 2022.
חברת Fortinet דיווחה כי פושעי סייבר משתמשים בנוזקת EvilExtractor באופן פעיל לגניבת מידע ובהתבסס על נתונים סטטיסטיים של מתקפות סייבר, ניכר כי הפריסה של EvilExtractor עלתה במרץ 2023, כאשר רוב הפעלות הנוזקה הגיעו ממתקפות דיוג. Fortinet טוענת כי מתקפות הדיוג הוסוו כבקשות אישור חשבון בדוא"ל המכיל קובץ קובץ הפעלה דחוס ב- gzip. קובץ הפעלה זה נוצר כדי להופיע כקובץ PDF או דרופבוקס לגיטימי, אבל למעשה מדובר בתוכנת הפעלה של Python. כאשר פותח הקורבן את הקובץ, קובץ PyInstaller מופעל ומשיק מטעין דוטנט המשתמש בסקריפט PowerShell מקודד base64 כדי להפעיל קובץ הפעלה של EvilExtractor. עם ההפעלה הראשונה, בודקת הנוזקה את זמן המערכת ושם המארח כדי לזהות אם היא פועלת בסביבה וירטואלית או בארגז חול ניתוח ובמידה ונמצא כי היא פועלת בארגז חול – היא תחדל.
גרסת EvilExtractor שנפרסה במתקפות הסייבר כוללת את המודולים הבאים: בדיקת תאריך שעה, אנטי ארגז חול, אנטי VM, אנטי סורק, הגדרת שרת FTP, גניבת נתונים, העלאת נתונים גנובים לשרת מרוחק, ניקוי יומן וכופרה. מודול גניבת הנתונים של EvilExtractor מוריד שלושה רכיבי Python נוספים בשם KK2023.zip, Confirm.zip ו- MnMs.zip. המודול הראשון מחלץ קובצי Cookie מ- Google Chrome, Microsoft Edge, Opera ו- Firefox וגם אוסף היסטוריית גלישה וסיסמאות שמורות ממערך נרחב עוד יותר של תוכנות. המודול השני הוא מפתח לוגים המתעד את הקלדות הקורבן במקלדת ושומר אותם בתיקייה מקומית לשם העברתם מאוחר יותר. המודול השלישי הוא מחלץ מצלמת אינטרנט, כלומר הוא יכול להפעיל בסתר את מצלמת האינטרנט, לצלם וידאו או תמונות ולהעלות את הקבצים לשרת ה- FTP של פושעי הסייבר. הנוזקה גם מסננת סוגי מסמכים וקבצי מדיה רבים מתיקיות שולחן העבודה וההורדות, מצלמת צילומי מסך ושולחת את כל הנתונים הגנובים למפעיליה.
חברת Fortinet מזהירה כי מפתחי נוזקת EvilExtractor הוסיפו מספר תכונות לכלי מאז השחרור הראשוני שלו באוקטובר 2022 והם ממשיכים לשדרג אותו כדי להפוך אותו לחזק ויציב יותר. נכון להיום נראה כי נוזקת EvilExtractor צוברת אחיזה בקהילת פשעי הסייבר ולכן מומלץ למשתמשים לגלות ערנות מפני אימיילים לא מוכרים או חשודים.
