Der er efterhånden mange indgående rapporter vedrørende eksempler kriminel brug af EvilExtractor, et datatyveriværktøj designet til at stjæle følsomme brugerdata.

Dette ulovlige software bliver i stigende grad observeret i Europa og USA. Værktøjet sælges af åbent af hackergruppen Kodex for $59 pr. måned og indeholder syv angrebsmoduler, inklusive Windows Defender-omgåelse, ransomware og udtræk af legitimationsoplysninger.

Selvom det markedsføres som et legitimt værktøj, har sikkerhedsforskere fundet ud af, at det hovedsageligt promoveres til IT-kriminelle der benytter forskellige hackingfora. EvilExtractor blev første gang observeret at blive solgt på Cracked and Nulled-fora af Recorded Future i oktober 2022.

EvilExtractor bliver brugt som en informationstjælende malware, her implementerer IT-kriminelle malwaren gennem phishing-kampagner. Ifølge Fortinet, et cybersikkerhedsfirma, steg implementeringen af ​​EvilExtractor i marts 2023, hvor de fleste infektioner stammede fra en forbundet phishing-kampagne. Angrebene observeret af Fortinet begynder med en phishing-e-mail, der er forklædt som en anmodning om kontobekræftelse, med en zip-komprimeret eksekverbar vedhæftet fil, der er designet til at ligne en legitim PDF- eller Dropbox-fil. Men i virkeligheden er det et Python eksekverbart program. Når målet åbner filen, udføres en PyInstaller-fil og starter en .NET-indlæser, der bruger et base64-kodet PowerShell-script til at starte en eksekverbar EvilExtractor.

Den installerede version af EvilExtractor er udstyret med forskellige moduler, herunder dato-tidskontrol, anti-sandbox, anti-VM, anti-scanner, FTP-serverindstilling, datatyveri, stjålne data upload, logrydning og ransomware.

Når EvilExtractors modul er aktiveret, downloader det tre Python-komponenter, nemlig "KK2023.zip", "Confirm.zip" og "MnMs.zip."

1. Det første program udtrækker cookies fra populære browsere så som Google Chrome, Microsoft Edge, Opera og Firefox sammen med browserhistorik og gemte adgangskoder fra en bredere vifte af programmer.

2. Det andet modul er en nøglelogger, der registrerer tastaturinput og gemmer dem i en lokal mappe til senere eksfiltrering.

3. Den tredje fil er en webcam-udtrækker, der gør det muligt for den i al hemmelighed at aktivere webkameraet, optage videoer eller billeder og uploade filerne til angriberens FTP-server, som er lejet af hackergruppen Kodex. Malwaren stjæler også flere dokument- og mediefiltyper fra mapperne Desktop og Downloads, tager skærmbilleder og sender alle de stjålne data til sine operatører.

Fortinet advarer om, at Kodex, udvikleren af EvilExtractor, har tilføjet flere funktioner til værktøjet siden dets første udgivelse i oktober 2022 og fortsætter med at opgradere det for at gøre det mere effektivt og stabilt.

Nylige fund viser, at EvilExtractor vinder fremgang i IT-kriminelle miljøer, så brugere opfordres til at være opmærksomme på uønskede e-mails.