Ein Cyberkrimineller bei der Arbeit
Ein Cyberkrimineller bei der Arbeit
Bildquelle: annetdebar, Lizenz

EvilExtractor: Windows-Malware stiehlt mehr als nur Passwörter

Auf Wunsch verschlüsselt die EvilExtractor-Malware auch Dein Windows-System und überträgt Browser-Daten und lokale Dateien an den Angreifer.

Die neu entdeckte Malware EvilExtractor greift eine Vielzahl an Informationen und Dateien von Windows-Nutzern ab. Bei Bedarf können Angreifer sogar auf ein Ransomware-Modul zurückgreifen und die Daten ihrer Opfer verschlüsseln. Wenn in Deinem E-Mail-Postfach demnächst eine fragwürdige PDF- oder Dropbox-Datei auftaucht, solltest Du vorsichtig sein.

Windows-Malware kommt als PDF- oder Dropbox-Datei in Dein E-Mail-Postfach

Bei EvilExtractor handelt es sich um ein von der Firma Kodex entwickeltes “pädagogisches Tool”, das Cyberkriminelle aktiv als Malware für Windows-Systeme einsetzen. Die Software dient Angreifern mitunter als Info-Stealer, indem sie via FTP Daten von den Endgeräten ihrer Opfer extrahiert. Eine Ransomware für Erpressungen ist ebenfalls integriert.

Böswillige Akteure verbreiten diese Windows-Malware im Rahmen einer Phishing-Kampagne. Sie kommt per E-Mail als vermeintlich harmlose PDF-Datei oder Link zu einem Dokument in einer Dropbox auf das jeweilige Zielsystem. Nachdem der Anwender sie geladen hat, nutzt die Software ein PowerShell-Skript, um Browserdaten und andere Informationen zu stehlen und an einen FTP-Server zu übermitteln.

Wie Sicherheitsforscher von FortiGuard Labs feststellten, haben die bösartigen Aktivitäten, in denen EvilExtractor involviert war, im März 2023 deutlich zugenommen. Die Angreifer zielen damit bisher vorwiegend auf Windows-Nutzer in Europa und Amerika ab.

Ein .NET-Loader und ein Python-Programm entfesseln EvilExtractor

Laut einem Fortinet-Blogbeitrag infiltrierten Angreifer ihr Ziel bei einem von den Forschern analysierten Beispiel der Windows-Malware mit einem .NET-Loader und einem Python-Programm. In Letzterem kam das Verschleierungswerkzeug “PYARMOR” zum Einsatz. Dadurch erschweren die Akteure die Entdeckung und Analyse ihrer Schadsoftware.

Bei EvilExtractor selbst handelt es sich um ein aus mehreren Modulen bestehendes PowerShell-Skript, das zunächst in Base64-kodierter Form vorliegt. Bevor die Schadsoftware ihre Arbeit aufnimmt, prüft sie vorerst, ob sie sich in einer VM oder auf einem bekannten Analysesystem befindet.

EvilExtractor greift nicht nur Daten ab, sondern verschlüsselt diese auch

Nachdem die Umgebungsprüfung erfolgreich war, lädt die Windows-Malware drei weitere Komponenten von einem Server herunter. Eine davon kann Browserdaten wie Cookies, Passwörter und Verläufe aus gängigen Webbrowsern extrahieren. Die anderen beiden sind ein Keylogger und ein Tool für den Webcam-Zugriff.

Darüber hinaus stiehlt EvilExtractor sämtliche Dateien vom Desktop und aus dem Download-Ordner des Benutzers, die bestimmte Dateiendungen aufweisen. Und auch die Erstellung von Screenshots gehört zu den Funktionen der bösartigen Software.

Auszug aus dem Code der Windows-Malware EvilExtractor
EvilExtractor-Skript sammelt Dateien und erstellt Screenshots (Quelle: Fortinet)

Durch die ebenfalls inkludierte “Kodex Ransomware” kann ein Angreifer Dateien seiner Opfer verschlüsseln und mit einem Passwort versehen. Anschließend erzeugt das Tool eine Nachricht, die eine Lösegeldforderung enthält.

Lösegeldforderung der in EvilExtractor enthaltenen Kodex-Ransomware
Lösegeldforderung der Kodex-Ransomware (Quelle: Fortinet)

Wer sich vor Windows-Malware wie EvilExtractor schützen will, dem sei die Lektüre unserer 10 Regeln für ein sicheres Online-Verhalten empfohlen.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.