Evelyn Stealer
إيفلين هي برمجية خبيثة متطورة لسرقة المعلومات، مصممة لجمع البيانات الحساسة خلسةً مع تجنب التحليل الأمني والكشف عنها بنشاط. وتتمثل وظيفتها الأساسية في استخلاص معلومات قيّمة من الأنظمة المصابة ونقلها إلى بنية التحكم والسيطرة الخاصة بالجهة المهاجمة عبر بروتوكول نقل الملفات (FTP).
يستطيع برنامج التجسس جمع نطاق واسع من البيانات، بما في ذلك بيانات اعتماد المتصفح المحفوظة، ومحتويات الحافظة، وكلمات مرور شبكة الواي فاي، ومعلومات محفظة العملات الرقمية، ومعلومات تفصيلية عن النظام. وبمجرد اكتمال عملية التجميع، يتم ضغط جميع المواد المسروقة في ملف ZIP وإرسالها إلى خادم FTP الخاص بالمهاجم.
جدول المحتويات
الإعداد الصامت وإساءة استخدام إمكانيات نظام التشغيل ويندوز
عند تشغيلها، تقوم إيفلين بتحميل مكونات نظام ويندوز اللازمة للعمل بشكل ديناميكي، بما في ذلك وظائف حقن العمليات، والوصول إلى الملفات وسجل النظام، والاتصال بالشبكة، ومراقبة الحافظة. تُمكّن هذه الإمكانيات البرمجية الخبيثة من الاندماج بعمق في النظام ودعم أهدافها في سرقة البيانات.
للحفاظ على سرية عملها، صُممت إيفلين لتتجنب التحليل اليدوي والآلي على حد سواء. قبل تفعيلها بالكامل، تُقيّم بيئتها لتحديد ما إذا كانت تخضع للفحص.
التحليل المدمج والتهرب من بيئة الاختبار المعزولة
تستخدم إيفلين تقنيات متعددة لمكافحة التحليل للكشف عن الأجهزة الافتراضية، وأدوات تصحيح الأخطاء، وأدوات الأمان أو البحث. ولا تتابع عملها إلا بعد التأكد من أن النظام يبدو بيئة مستخدم حقيقية.
في تلك المرحلة، يقوم البرنامج الضار بإنشاء مجلداته الخاصة داخل مجلد AppData الخاص بالمستخدم، والذي يستخدمه لتخزين المعلومات التي تم جمعها والملفات الداعمة.
استهداف المتصفحات بشكل مكثف والتلاعب بالعمليات
يبدأ البرنامج الخبيث بجمع أي بيانات متصفح موجودة بالفعل على النظام، ثم يقوم بإغلاق المتصفحات قيد التشغيل قسرًا. هذا يمنع تعارض البيانات ويهيئ البيئة للمرحلة التالية: الحقن.
يحتاج برنامج إيفلين إلى ملف مساعد محدد لسرقة بيانات تسجيل الدخول إلى المتصفح. يتحقق البرنامج أولاً مما إذا كان هذا الملف موجودًا بالفعل في مجلد TEMP الخاص بالنظام. إذا لم يكن موجودًا، فإنه يحاول تنزيله من خادم FTP الخاص به. وكحل أخير، يبحث في المجلد الذي يعمل منه البرنامج الخبيث نفسه.
بمجرد الحصول على الملف، يقوم برنامج إيفلين بتشغيل المتصفح المستهدف بطريقة مُحكمة التحكم، ويُدخل فيه المكون الخبيث سرًا. يسمح هذا للمُخترق بتجاوز حماية المتصفح المُدمجة. ولتجنب تنبيه المستخدم أو برامج الأمان، يتم تشغيل المتصفح باستخدام العديد من المعلمات المُخفية التي تُخفي النوافذ، وتُعطل ميزات الأمان والإضافات، وتمنع إنشاء السجلات، وتُخفي أي علامات ظاهرة على فتح المتصفح. تُمكّن هذه الإجراءات من استخراج بيانات المتصفح بصمت.
توسيع نطاق جمع البيانات
بالإضافة إلى المتصفحات، يقوم برنامج إيفلين الخبيث بالتقاط صور للشاشة وجمع تفاصيل شاملة عن النظام، بما في ذلك اسم المستخدم الحالي، واسم الكمبيوتر، وإصدار نظام التشغيل، والتطبيقات المثبتة، والعمليات الجارية، وإعدادات الشبكة الافتراضية الخاصة (VPN). كما يستهدف البرنامج محافظ العملات المشفرة، ويراقب الحافظة، ويسترجع بيانات اعتماد شبكة Wi-Fi المحفوظة.
يتم تجميع جميع المعلومات التي تم جمعها وضغطها في أرشيف ZIP، ثم يتم تسريبها إلى خادم التحكم والسيطرة الخاص بالمهاجم عبر بروتوكول نقل الملفات (FTP).
ناقل العدوى: إضافة مطورين مصابة بحصان طروادة
يتم توزيع برنامج Evelyn عبر إضافة خبيثة لبرنامج Visual Studio Code، تتظاهر بأنها إضافة شرعية. عند تثبيتها، تقوم هذه الإضافة بإسقاط ملف خبيث مُتنكر في هيئة مكتبة ارتباط ديناميكي (DLL) عادية لبرنامج Lightshot. يقوم تطبيق Lightshot الأصلي بتحميل هذه المكتبة المزيفة، مما يؤدي دون علمه إلى تنفيذ شيفرة المُهاجم.
بمجرد تفعيلها، تقوم مكتبة الارتباط الديناميكية الخبيثة بتشغيل أمر PowerShell مخفي لتنزيل حمولة إضافية. هذا المكون الثانوي مسؤول عن حقن وتفعيل برنامج سرقة المعلومات Evelyn.
تقييم الأثر الأمني والمخاطر
يمثل برنامج إيفلين تهديدًا عالي الخطورة نظرًا لقدرته على التخفي، ونطاق جمع البيانات الواسع، وتقنيات التهرب المتقدمة. ويركز هذا البرنامج على بيانات المتصفح، ومعلومات النظام، وأصول العملات المشفرة، مما يجعل الإصابة به بالغة الخطورة. ويمكن أن يؤدي اختراق النظام بواسطة هذا البرنامج الخبيث إلى خسائر مالية، والاستيلاء على الحسابات، وسرقة الهوية، مما يؤكد أهمية الحماية القوية للأجهزة الطرفية، واتباع ممارسات تثبيت الإضافات بحذر، والمراقبة المستمرة لأي سلوك غير طبيعي للنظام.
