Компания по обеспечению безопасности FortiGuard Labs подробно описала цепочку атак и возможности EvilExtractor начиная с PDF-файла который на самом деле таковым не является. Злоумышленники распространяют исполняемый файл после распаковки которого пользователь находит файл который выглядит как PDF, но эта видимость - ложь скрывающая истинную роль файла как исполняемой программы на языке Python упакованной с помощью PyInstaller. Файл обычно приходит по электронной почте, иногда со скрытой ссылкой Dropbox. Код запутан с помощью PyArmor, чтобы его было сложнее обнаружить антивирусным ПО.
После запуска EvilExtractor активирует серию тестов чтобы убедиться, что он не работает в виртуальной среде. После подтверждения того что система является подходящей целью основной код вредоносного ПО (сценарий PowerShell) начинает действовать для загрузки компонентов атаки. Среди модулей EvilExtractor есть похититель данных который может извлекать историю и пароли практически из любого современного браузера (частая цель вредоносных программ). Он также загружает кейлоггер который отслеживает все вводимые данные на ПК. Наконец он загружает модуль который отправляет украденные данные на FTP-сервер злоумышленника.
Кража данных первая в списке преступлений EvilExtractor, но ПО быстро переходит к еще более коварным действиям. После завершения эксфильтрации данных у вредоносных программ больше нет причин оставаться незамеченными. Она загружает модуль программы-вымогателя известный как Kodex который затем приступает к шифрованию локальных файлов, а затем отправляет подтверждающий снимок экрана на сервер управления и контроля. Пользователь получает требование на 1000 долларов в биткойнах в обмен на 50-символьный ключ дешифрования без которого маловероятно, что файлы когда-либо будут восстановлены.
FortiGuard заявляет, что ее средства защиты от вредоносных программ теперь будут обнаруживать EvilExtractor, но обновление всех систем безопасности - вопрос времени.
