近期,資安專業公司Fortinet揭示了一種名為EvilExtractor的危險惡意軟體,該軟體利用精心策劃的攻擊手法來侵犯用戶的隱私和安全。以下將詳述EvilExtractor的攻擊過程及其威脅。
首先,攻擊者會以偽裝成帳號確認請求的方式向潛在受害者發送釣魚郵件。郵件中附有一個gzip壓縮檔案,該檔案中似乎包含了一個PDF文件。然而,這實際上是一個具有惡意功能的Python可執行檔案。
當受害者無意中點擊並執行該檔案時,PyInstaller程式將被激活,進而運行惡意程式載入器。該載入器通過Base64編碼的PowerShell腳本來啟動EvilExtractor惡意程式。
在EvilExtractor首次運行時,它會檢查系統的時間和主機名稱以判定是否在虛擬電腦環境中運行。若判定為實際電腦系統,惡意軟體將繼續運行並下載三個附加模組。這些模組用於收集瀏覽器Cookie中的上網記錄和帳號密碼資訊,以及記錄鍵盤輸入、控制攝像頭和截取屏幕影像的功能。
令人擔憂的是,EvilExtractor還具有一個名為Kodex Ransomware的加密勒索功能。這個功能會利用7-Zip將受害者電腦中的檔案轉換為受密碼保護的壓縮檔,並向受害者索取價值1000美元的比特幣作為贖金。
面對這種新型的惡意軟體攻擊,個人和企業都應提高警惕,加強對郵件和附件的審查。對於可疑郵件,應避免隨意點擊和打開附件,以降低遭受攻擊的風險。