حملة اختراق شاملة تدعى EvilExtractor تستهدف بيانات مستخدمي نظام ويندوز

News
متعدد الإمكانيات !! بدأت حملة اختراق تستهدف بشكل نشط مستخدمي أنظمة تشغيل Microsoft
Mostafa Tamam
April 24, 2023, 1 p.m.
mostafa_tamam
حملة اختراق شاملة تدعى EvilExtractor تستهدف بيانات مستخدمي نظام ويندوز

تم ظهور برنامج جديد متعدد الإمكانيات يسمى EvilExtractor, وتعم عرضة للبيع لـ threat actors لسرقة البيانات والملفات من أنظمة Windows, تُباع EvilExtractor من قبل شركة تُدعى Kodex مقابل 59 دولارًا شهريًا ، وتضم سبع وحدات هجوم ، بما في ذلك برامج الفدية واستخراج بيانات الاعتماد وتجاوز Windows Defender.

وقت ظهور برمجية EvilExtractor

تم ظهوره فى اول مرة على منتديات القرصنة على الأنترنت كأداة شرعية وقالت كارا لين الباحثة في Fortinet FortiGuard Labs "إنها تتضمن عدة وحدات تعمل جميعها عبر خدمة FTP" يحتوي أيضًا على وظائف التحقق من بيئة العمل و Anti-VM functions ويبدو أن الغرض الأساسي منه هو سرقة بيانات ومعلومات المتصفح من نقاط النهاية المخترقة ثم تحميلها على خادم FTP الخاص بالمهاجم."

وضحت ايضا ألان ليسكا ، محلل استخبارات التهديدات في Recorded Future أن :

" لاحظت شركة ريكورديد فيوتشر أن Evil Extractor يتم بيعه لأول مرة في منتديات Cracked and Nulled في أكتوبر من عام 2022"


استنادًا إلى إحصائيات الهجوم التي جمعتها شركة الأمن السيبراني ، ارتفع انتشار EvilExtractor في مارس 2023 ، حيث تأتي معظم الإصابات من حملة التصيد الأحتيالى Phishing.

تفاصيل انتشار الهجوم

توضح شركة Fortinet إن الهجمات التي لاحظوها بدأت برسالة بريد إلكتروني تصيدية متخفية كطلب تأكيد حساب ، وتحمل مرفقًا قابلًا للتنفيذ مضغوطًا بصيغة gzip. تم إنشاء هذا الملف القابل للتنفيذ ليظهر كملف PDF أو Dropbox شرعي ، ولكنه في الواقع برنامج Python قابل للتنفيذ.

عندما يفتح الهدف الملف ، يتم تنفيذ ملف PyInstaller وتشغيل محمل .NET الذي يستخدم برنامج PowerShell بتشفير base64 لبدء تشغيل EvilExtractor القابل للتنفيذ.

عند الإطلاق الأول ، سيتحقق البرنامج الضار من وقت النظام واسم المضيف لاكتشاف ما إذا كان يعمل في بيئة افتراضية أو وضع الحماية للتحليل ، وفي هذه الحالة سيتم الخروج, يمكن لهذة البرمجية  إلى جانب تجميع الملفات  تنشيط كاميرا الويب والتقاط لقطات شاشة.

تحليل برمجية EvilExtractor

يتم استخدام محرّكات البحث لإعادة توجيه المستخدمين الذين يبحثون عن أدوات شائعة مثل ChatGPT و Cisco AnyConnect و Citrix Workspace و Zoom إلى مواقع الويب التي تستضيف هذة البرامج مدموج معها الأدوات الضارة.

- تم إصدار EvilExtractor بأمكانية شن هذة الهجمات التالية:

  •  التحقق من التاريخ والوقت
  •  مضاد Sandbox
  •  مضاد VM
  •  مضاد Scanner
  •  إعداد خادم FTP
  •  سرقة البيانات
  •  رفع البيانات المسروقة
  •  مسح الـ Log
  •  برامج الفدية     

Exfiltrating stolen data to the FTP server (Fortinet)

1- ستقوم وحدة سرقة البيانات EvilExtractor بتنزيل ثلاثة مكونات إضافية من Python تسمى "KK2023.zip" و "Confirm.zip" و "MnMs.zip."

2- يستخرج البرنامج الأول ملفات تعريف الارتباط من Google Chrome و Microsoft Edge و Opera و Firefox ويجمع أيضًا كلمات المرور المحفوظة.

3- البرنامج الثانى هي أداة keylogger التي تستخدم فى تسجيل لوحة مفاتيح الضحية وتحفظها في مجلد داخل الجهاز ليتم إخراجها لاحقًا.

4- الملف الثالث هو مستخرج كاميرا الويب ، مما يعني أنه يمكنه تنشيط كاميرا الويب سراً ، والتقاط الفيديو أو الصور ، وتحميل الملفات إلى سيرفر FTP الخاص بالمهاجم ، والذي تستأجره Kodex صاحبة هذة البرمجية.

5- تقوم باقى البرمجية أيضًا بإخراج العديد من أنواع الملفات والوسائط من مجلدي سطح المكتب والتنزيلات ، وتلتقط لقطات شاشة ، وترسل جميع البيانات المسروقة إلى سيرفر FTP.

السبيل الى الحماية

وضحت Secureworks ان للتخفيف من هذا الهجمات والتهديدات المماثلة ، يجب على المؤسسات التأكد من تحديثات البرامج وتنزيلها فقط من مواقع الويب المعروفة والموثوق بها.

نوضح ايضا بأن هذة البرمجية قائمة على التصيد الأحتيالى Phishing من خلال البريد الألكترونى لذلك يجب على المستخدمين تجنب فتح رسائل البريد الإلكتروني المشبوهة وتثبيت البرامج الغير موثوق بها، وتحديث برامج الحماية الخاصة بهم بانتظام للحفاظ على أمان الجهاز والبيانات.

شارك الخبر على منصات التواصل الأجتماعى لتعميم الفائدة على باقى المستخدمين والسلام ختام wink

References:

the hacker news
darkreading
bleeping computer


evilextractor stealer campaign News Microsoft Windows Root-x Mostafa Tamam