.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
EvilExtractor(有時拼寫為Evil Extractor)是一種旨在針對Windows操作系統並從終端設備提取數據和文件的攻擊工具。它包括幾個通過FTP服務工作的模塊。它是由一家名為Kodex的公司開發的,該公司聲稱這是一款教育工具。然而,FortiGuard研究表明,攻擊者正在積極使用它作為信息竊取工具。
2023年3月,惡意活動顯著增加。 FortiGuard實驗室在3月30日的一次釣魚電子郵件活動中發現了這種惡意軟件。它通常偽裝成合法文件,如Adobe PDF或Dropbox文件,但一旦加載,它就開始利用PowerShell的惡意活動。它還包含環境檢查和反虛擬機功能。其主要目的似乎是從受攻擊的終端竊取瀏覽器數據和信息,然後將其上傳到攻擊者的FTP服務器。
研究人員最近審查了一個被注入受害者係統的惡意軟件版本,作為分析的一部分,我們發現大多數受害者位於歐洲和美國。開發商於2022年10月發布了其項目,並不斷更新以提高其穩定性並加強其模塊。
本文將研究用於EvilExtractor的初始攻擊方法及其功能。
EvilExtractor在網上出售
初始訪問帶有惡意附件的網絡釣魚電子郵件如下圖所示。它偽裝成一個帳戶確認請求。攻擊者還通過使用解壓文件的Adobe PDF圖標來欺騙受害者。 PE標頭如下圖所示。
釣魚郵件
“Account_Info.exe”的文件標頭
執行文件是由PyInstaller封裝的Python程序。我們用pyinstxtractor提取它,發現它的主代碼文件“contain.pyc”中的“PYARMOR”字符串,是Python腳本的混淆工具,使惡意軟件更難被分析和檢測。我們從_pytransform.dll中提取了密鑰和iv,並使用AES-GCM解密了“contain.pyc”。
' include .pyc'中的代碼
除了Python程序之外,我們還觀察到了一個可以提取EvilExtractor的.NET加載程序。下圖是代碼的一部分。它包含Base64編碼的數據,該數據是PowerShell腳本。此執行文件由工具“PS2EXE-GUI”生成,該工具可以將PowerShell腳本轉換為EXE文件。
EvilExtractor的.Net代碼
EvilExtractor在解密pyc文件之後,我們得到了EvilExtractor的主代碼。它是一個PowerShell腳本,包含以下模塊:
日期時間檢查;
反沙盒;
反虛擬機;
反掃描器;
FTP服務器設置;
竊取數據;
上傳被盜數據;
清除日誌。
它首先檢查系統日期是否在2022.11.9和2023.4.12之間。如果沒有,則使用以下命令刪除PSReadline中的數據並終止:
然後,它比較產品模型,看看它是否匹配以下任何一個:VirtualBox、VMWare、Hyper-V、Parallels、Oracle VM VirtualBox、Citrix Hypervisor、QEMU、KVM、Proxmox VE或Docker,如下圖所示。它還將受害者的主機名與來自VirusTotal設備或其他掃描儀/虛擬機的187個名稱進行檢查,如下圖所示。
EvilExtractor比較產品模型以進行匹配
虛擬環境和掃描器/虛擬機檢查
通過環境檢查後,EvilExtractor從http://193[.]42[.]33[.]232下載三個用於竊取數據的組件。這些文件也是使用PyArmor進行混淆處理的Python程序。第一個是“KK2023.zip”,用於竊取瀏覽器數據並將其保存在“IMP_Data”文件夾中。它可以從Google Chrome、Microsoft Edge、Opera和Firefox中提取cookie。它還從以下瀏覽器收集瀏覽器歷史記錄和密碼:
第二個文件是“Confirm.zip”。它是一個將數據保存在“KeyLogs”文件夾中的鍵盤記錄器。最後一個文件“MnMs.zip”是一個網絡攝像頭提取器。其對應的代碼如下圖所示。
下載Keylogger和Webcam Snapshot函數的組件
EvilExtractor還通過PowerShell腳本收集系統信息,如下圖所示。下圖顯示了一個名為“Credentials.txt”的文本文件中的連接數據。
用於收集系統信息的PowerShell腳本
“Credentials.txt”的內容
EvilExtractor從Desktop和Download文件夾下載具有特定擴展名的文件,包括jpg, png, jpeg, mp4, mpeg, mp3, avi, txt, rtf, xlsx, docx, pptx, pdf, rar, zip, 7z, csv, xml和html。它還使用命令“CopyFromScreen”來捕獲屏幕截圖,代碼如下圖所示。
下載文件並獲取截圖
EvilExtractor從受攻擊的終端提取所有數據後,將其上傳到攻擊者的FTP服務器,如下圖所示。 EvilExtractor的開發人員還為購買其惡意軟件的用戶提供了FTP服務器。
將文件上傳到攻擊者的FTP服務器
Kodex 勒索軟件EvilExtractor還具有勒索軟件功能,它被稱為“Kodex勒索軟件”,如下圖所示。我們從上一節提到的.net加載程序中提取了此PowerShell腳本,其勒索軟件的腳本與其竊取程序的腳本相似。
來自evilextracom[.]com的介紹
它從evidtextractor[.]com下載“zzyy.zip”。解壓後的文件(一個7-zip的獨立控制台)的詳細信息如下圖所示。下圖顯示了它利用“7za.exe”用參數“-p”加密文件,這意味著用密碼壓縮文件。它還生成一條保存在“KodexRansom”中的勒索消息。
“zzyy.zip”中的文件
Kodex勒索軟件的PowerShell腳本
勒索消息
總結EvilExtractor是一個多功能信息竊取程序,具有包括勒索軟件在內的多種惡意功能。它的PowerShell腳本可以在.NET加載程序或PyArmor中躲避檢測。在很短的時間內,它的開發人員已經更新了幾個功能,並提高了它的穩定性。本文介紹了攻擊者如何通過網絡釣魚郵件發起攻擊,以及利用哪些文件來提取EvilExtracrtor PowerShell腳本。本文還詳細介紹了EvilExtractor包括哪些功能,它可以收集哪些數據,以及Kodex勒索軟件的工作原理。用戶應該警惕這種新的信息竊取程序,並謹慎打開可疑郵件。
攻擊鏈