Оферта за отстъпка за множество лицензи
База данни за заплахи Крадци Евелин Стилър

Евелин Стилър

До Mezo през Крадци, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Evelyn е сложен зловреден софтуер за кражба на информация, създаден за дискретно събиране на чувствителни данни, като същевременно активно избягва анализ и откриване на сигурността. Основната му функция е да събира ценна информация от заразените системи и да я прехвърля към командно-контролната (C2) инфраструктура на злонамерената страна през FTP.

Крадецът е способен да събира широк набор от данни, включително запазени идентификационни данни на браузъра, съдържание на клипборда, пароли за Wi-Fi, информация за портфейли с криптовалута и подробна системна информация. След като агрегирането приключи, целият откраднат материал се компресира в ZIP архив и се предава на FTP сървъра на нападателя.

Тиха настройка и злоупотреба с възможностите на Windows

Когато се изпълни, Evelyn динамично зарежда компонентите на Windows, необходими за работата му, включително функционалност за инжектиране на процеси, достъп до файлове и регистър, мрежова комуникация и наблюдение на клипборда. Тези възможности позволяват на зловредния софтуер да се интегрира дълбоко в системата и да поддържа целите си за кражба на данни.

За да остане скрита, Евелин е проектирана да избягва както ръчен, така и автоматизиран анализ. Преди пълното си активиране, тя оценява средата си, за да определи дали се изследва.

Вграден анализ и избягване на пясъчник

Евелин използва множество техники за анти-анализ, за да открива виртуални машини, дебъгери и инструменти за сигурност или проучване. Едва след като се потвърди, че системата изглежда като истинска потребителска среда, тя продължава.

На този етап зловредният софтуер създава свои собствени директории в папката AppData на потребителя, които използва за съхраняване на събрана информация и поддържащи файлове.

Агресивно насочване към браузъра и манипулиране на процеси

Зловредният софтуер започва със събиране на всички данни от браузъра, които вече са налични в системата, и след това насилствено затваря работещите браузъри. Това едновременно предотвратява конфликти на данни и подготвя средата за следващата фаза: инжектиране.

Евелин се нуждае от специфичен спомагателен файл, за да открадне данни за вход в браузъра. Първо проверява дали този файл вече съществува в директорията TEMP на системата. Ако не, се опитва да изтегли файла от FTP сървъра. Като последна резервна мярка, претърсва директорията, от която се изпълнява самият зловреден софтуер.

След като файлът бъде получен, Евелин стартира целевия браузър по силно контролиран начин и тайно инжектира злонамерения компонент в него. Това позволява на крадеца да заобиколи вградените защити на браузъра. За да избегне предупреждаването на потребителя или софтуера за сигурност, браузърът се стартира с множество скрити параметри, които потискат прозорците, деактивират функциите и разширенията за сигурност, предотвратяват създаването на регистрационни файлове и скриват всички видими признаци, че браузърът е бил отворен. Тези мерки позволяват тихо извличане на данни от браузъра.

Разширяване на събирането на данни

Освен браузърите, Евелин прави екранни снимки на работния плот и компилира обширни системни данни, включително текущото потребителско име, името на компютъра, версията на операционната система, инсталираните приложения, изпълняваните процеси и VPN конфигурациите. Зловредният софтуер също така активно атакува портфейли с криптовалута, следи клипборда и извлича запазени Wi-Fi идентификационни данни.

Цялата събрана информация се консолидира, компресира в ZIP архив и се изтегля към C2 сървъра на нападателя чрез FTP.

Вектор на зараза: Разширение за разработчици, заразено с троянец

Evelyn се разпространява чрез злонамерено разширение за Visual Studio Code, представящо се за легитимна добавка. Когато е инсталирано, това разширение пуска злонамерен файл, маскиран като нормална динамична библиотека (DLL) на Lightshot. След това оригиналното приложение Lightshot зарежда тази фалшива DLL, като несъзнателно изпълнява кода на нападателя.

След като се активира, злонамерената DLL библиотека стартира скрита PowerShell команда за изтегляне на допълнителен полезен товар. Този вторичен компонент е отговорен за инжектирането и активирането на програмата за кражба на информация Evelyn.

Оценка на въздействието върху сигурността и риска

Evelyn представлява високорискова заплаха поради своята скритост, широк обхват на събиране на данни и силни техники за избягване. Фокусът му върху данни от браузъра, системна информация и криптовалутни активи прави инфекциите особено опасни. Компрометирането от този крадец може да доведе до финансови загуби, поглъщане на акаунти и кражба на самоличност, което подчертава значението на силната защита на крайните точки, предпазливите практики за инсталиране на разширения и непрекъснатото наблюдение за аномално поведение на системата.

Тенденция

Imorportabless.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Безопасността онлайн никога не е била по-важна. Всеки ден потребителите се сблъскват с безброй уебсайтове, реклами и изскачащи прозорци, много от които са предназначени не да информират, а да...

Search.quicksearchsafe.com

Измамни уебсайтове, Похитители на браузъри, Потенциално нежелани програми
Защитата на устройствата от натрапчиви и ненадеждни PUP (потенциално нежелани програми) е от съществено значение за поддържане на сигурността, поверителността и стабилността на системата. Софтуер...

Най-гледан

Зловреден софтуер

Фишинг, Спам
28,699
Съобщението за измама „Apple Pay Suspended“ е вид фишинг тактика, насочена към потребителите на Apple Pay. Съобщението твърди, че портфейлът на Apple Pay на потребителя е спрян и ги призовава да кликнат върху връзка, за да го възстановят. Щракването върху връзката обаче ще отведе потребителя до фалшив уебсайт, който е предназначен да открадне тяхната лична и финансова информация. Ако потребител...
Зареждане...