EvilExtractor: Windows-Malware stiehlt mehr als nur Passwörter

Kommentare
1

Ein Cyberkrimineller bei der Arbeit
Ein Cyberkrimineller bei der Arbeit2000×1429 373 KB

Kommentare zu folgendem Beitrag: EvilExtractor: Windows-Malware stiehlt mehr als nur Passwörter

2

image
image1070×566 79 KB

Die Ausführungsdatei ist ein von PyInstaller gepacktes Python-Programm.

EvilExtractor

Nach dem Entschlüsseln der Pyc-Datei erhalten wir den Primärcode von EvilExtractor. Es ist ein PowerShell-Skript, das die folgenden Module enthält:

  • Überprüfung von Datum und Uhrzeit
  • Anti-Sandbox
  • Anti-VM
  • Anti-Scanner
  • FTP-Server-Einstellung
  • Daten stehlen
  • Gestohlene Daten hochladen
  • Protokoll löschen

Es prüft zunächst, ob das Datum des Systems zwischen dem 09.11.2022 und dem 12.04.2023 liegt. Wenn nicht, verwendet es den folgenden Befehl, um die Daten in PSReadline zu löschen und zu beenden:

DEL \"$env:APPDATA\Microsoft\Windows\PowerShell\PSReadline\*\" -Force –Recurse

Anschließend wird das Produktmodell verglichen, um festzustellen, ob es mit einem der folgenden übereinstimmt: VirtualBox, VMWare, Hyper-V, Parallels, Oracle VM VirtualBox, Citrix Hypervisor, QEMU, KVM, Proxmox VE oder Docker…
Das Skript vergleicht auch den Hostnamen des Opfers mit 187 Namen von VirusTotal-Maschinen oder anderen Scannern / virtuellen Maschinen!

image
image1028×768 596 KB

Nach bestandener Umgebungsprüfung lädt EvilExtractor drei Komponenten von http://193[.]42[.]33[.]232 herunter, die zum Datendiebstahl verwendet werden. Diese Dateien sind ebenfalls Python-Programme, die mit PyArmor verschleiert werden. Die erste ist „KK2023.zip“, die verwendet wird, um Browserdaten zu stehlen und im Ordner „IMP_Data“ zu speichern. Es kann Cookies von Google Chrome, Microsoft Edge, Opera und Firefox extrahieren. Es sammelt auch den Browserverlauf und Passwörter von den folgenden Browsern:

image
image1009×191 16.9 KB

Die zweite Datei ist „Confirm.zip“. Es ist ein Keylogger, der Daten im Ordner „KeyLogs“ speichert. Die letzte Datei, „MnMs.zip“, ist ein Webcam-Extraktor.
EvilExtractor lädt Dateien mit bestimmten Erweiterungen aus den Desktop- und Download-Ordnern herunter, einschließlich jpg, png, jpeg, mp4, mpeg, mp3, avi, txt, rtf, xlsx, docx, pptx, pdf, rar, zip, 7z, csv, xml, und HTML. Es verwendet auch den Befehl „CopyFromScreen“, um einen Screenshot aufzunehmen.

Nachdem EvilExtractor alle Daten vom kompromittierten Endpunkt extrahiert hat, lädt es sie auf den FTP-Server des Angreifers hoch!!
Der Entwickler von EvilExtractor stellt auch einen FTP-Server für diejenigen bereit, die seine Malware kaufen.

Zum Schluß wird dann endgültig die Kodex Ransomware gestartet…der Rest ist Geschichte!
:wink: :crazy_face:

31_4af50679155b6e037df699747a78becb

1 „Gefällt mir“