এভলিন স্টিলার
এভলিন হল একটি অত্যাধুনিক তথ্য চুরিকারী ম্যালওয়্যার যা নিরাপত্তা বিশ্লেষণ এবং সনাক্তকরণকে সক্রিয়ভাবে এড়িয়ে নীরবে সংবেদনশীল তথ্য সংগ্রহ করার জন্য তৈরি করা হয়েছে। এর প্রাথমিক কাজ হল সংক্রামিত সিস্টেম থেকে মূল্যবান তথ্য সংগ্রহ করা এবং FTP এর মাধ্যমে হুমকির কারণের কমান্ড-এন্ড-কন্ট্রোল (C2) অবকাঠামোতে স্থানান্তর করা।
চুরিকারী ব্যক্তি বিস্তৃত পরিসরের ডেটা সংগ্রহ করতে সক্ষম, যার মধ্যে সংরক্ষিত ব্রাউজারের শংসাপত্র, ক্লিপবোর্ডের বিষয়বস্তু, ওয়াই-ফাই পাসওয়ার্ড, ক্রিপ্টোকারেন্সি ওয়ালেটের তথ্য এবং বিস্তারিত সিস্টেম ইন্টেলিজেন্স অন্তর্ভুক্ত। একত্রিতকরণ সম্পূর্ণ হয়ে গেলে, সমস্ত চুরি হওয়া তথ্য একটি জিপ আর্কাইভে সংকুচিত করা হয় এবং আক্রমণকারীর FTP সার্ভারে প্রেরণ করা হয়।
সুচিপত্র
নীরব সেটআপ এবং উইন্ডোজ ক্ষমতার অপব্যবহার
কার্যকর করা হলে, এভলিন গতিশীলভাবে উইন্ডোজের প্রয়োজনীয় উপাদানগুলি লোড করে, যার মধ্যে রয়েছে প্রক্রিয়া ইনজেকশন, ফাইল এবং রেজিস্ট্রি অ্যাক্সেস, নেটওয়ার্ক যোগাযোগ এবং ক্লিপবোর্ড পর্যবেক্ষণের কার্যকারিতা। এই ক্ষমতাগুলি ম্যালওয়্যারটিকে সিস্টেমের গভীরে সংহত করতে এবং এর ডেটা-চুরির উদ্দেশ্যগুলিকে সমর্থন করতে দেয়।
গোপন থাকার জন্য, এভলিনকে ম্যানুয়াল এবং স্বয়ংক্রিয় উভয় বিশ্লেষণ এড়াতে তৈরি করা হয়েছে। সম্পূর্ণরূপে সক্রিয় করার আগে, এটি পরীক্ষা করা হচ্ছে কিনা তা নির্ধারণ করার জন্য এটি তার পরিবেশ মূল্যায়ন করে।
অন্তর্নির্মিত বিশ্লেষণ এবং স্যান্ডবক্স ফাঁকি
ভার্চুয়াল মেশিন, ডিবাগার এবং নিরাপত্তা বা গবেষণা সরঞ্জাম সনাক্ত করার জন্য এভলিন একাধিক অ্যান্টি-অ্যানালাইসিস কৌশল ব্যবহার করে। সিস্টেমটি প্রকৃত ব্যবহারকারী পরিবেশ বলে মনে হচ্ছে কিনা তা নিশ্চিত করার পরেই এটি এগিয়ে যায়।
সেই পর্যায়ে, ম্যালওয়্যারটি ব্যবহারকারীর অ্যাপডেটা ফোল্ডারের মধ্যে নিজস্ব ডিরেক্টরি তৈরি করে, যা এটি সংগ্রহ করা তথ্য এবং সহায়ক ফাইল সংরক্ষণ করতে ব্যবহার করে।
আক্রমণাত্মক ব্রাউজার টার্গেটিং এবং প্রক্রিয়া ম্যানিপুলেশন
ম্যালওয়্যারটি সিস্টেমে ইতিমধ্যে উপস্থিত যেকোনো ব্রাউজার ডেটা সংগ্রহ করে শুরু করে এবং তারপর জোর করে চলমান ব্রাউজারগুলি বন্ধ করে দেয়। এটি উভয়ই ডেটা দ্বন্দ্ব প্রতিরোধ করে এবং পরবর্তী পর্যায়ের জন্য পরিবেশ প্রস্তুত করে: ইনজেকশন।
ব্রাউজার লগইন ডেটা চুরি করার জন্য এভলিনের একটি নির্দিষ্ট সহায়ক ফাইলের প্রয়োজন হয়। এটি প্রথমে পরীক্ষা করে যে এই ফাইলটি ইতিমধ্যেই সিস্টেমের TEMP ডিরেক্টরিতে বিদ্যমান কিনা। যদি না থাকে, তবে এটি তার FTP সার্ভার থেকে ফাইলটি ডাউনলোড করার চেষ্টা করে। চূড়ান্ত ফলব্যাক হিসাবে, এটি সেই ডিরেক্টরিটি অনুসন্ধান করে যেখান থেকে ম্যালওয়্যারটি নিজেই চলছে।
ফাইলটি পাওয়ার পর, এভলিন অত্যন্ত নিয়ন্ত্রিত পদ্ধতিতে লক্ষ্যবস্তু ব্রাউজারটি চালু করে এবং গোপনে ক্ষতিকারক উপাদানটি এতে প্রবেশ করায়। এটি চুরিকারীকে অন্তর্নির্মিত ব্রাউজার সুরক্ষাগুলিকে বাইপাস করতে দেয়। ব্যবহারকারী বা সুরক্ষা সফ্টওয়্যারকে সতর্ক করা এড়াতে, ব্রাউজারটি অসংখ্য গোপন পরামিতি দিয়ে শুরু করা হয় যা উইন্ডোজ দমন করে, সুরক্ষা বৈশিষ্ট্য এবং এক্সটেনশনগুলি অক্ষম করে, লগ তৈরি রোধ করে এবং ব্রাউজারটি খোলা হয়েছে এমন কোনও দৃশ্যমান লক্ষণ লুকিয়ে রাখে। এই ব্যবস্থাগুলি ব্রাউজার ডেটা নীরবভাবে নিষ্কাশন করতে সক্ষম করে।
ডেটা হার্ভেস্ট সম্প্রসারণ করা
ব্রাউজার ছাড়াও, এভলিন ডেস্কটপের স্ক্রিনশট ক্যাপচার করে এবং বর্তমান ব্যবহারকারীর নাম, কম্পিউটারের নাম, অপারেটিং সিস্টেম সংস্করণ, ইনস্টল করা অ্যাপ্লিকেশন, চলমান প্রক্রিয়া এবং ভিপিএন কনফিগারেশন সহ বিস্তৃত সিস্টেমের বিবরণ সংকলন করে। ম্যালওয়্যারটি সক্রিয়ভাবে ক্রিপ্টোকারেন্সি ওয়ালেটগুলিকেও লক্ষ্য করে, ক্লিপবোর্ড পর্যবেক্ষণ করে এবং সংরক্ষিত ওয়াই-ফাই শংসাপত্রগুলি পুনরুদ্ধার করে।
সমস্ত সংগৃহীত তথ্য একত্রিত করা হয়, একটি জিপ আর্কাইভে সংকুচিত করা হয় এবং FTP এর মাধ্যমে আক্রমণকারীর C2 সার্ভারে প্রেরণ করা হয়।
সংক্রমণ ভেক্টর: একটি ট্রোজানাইজড ডেভেলপার এক্সটেনশন
এভলিন একটি ক্ষতিকারক ভিজ্যুয়াল স্টুডিও কোড এক্সটেনশনের মাধ্যমে বিতরণ করা হয় যা একটি বৈধ অ্যাড-অন হিসেবে উপস্থাপন করে। ইনস্টল করার পরে, এই এক্সটেনশনটি একটি সাধারণ লাইটশট ডায়নামিক-লিঙ্ক লাইব্রেরি (DLL) এর ছদ্মবেশে একটি দুর্বৃত্ত ফাইল ফেলে দেয়। আসল লাইটশট অ্যাপ্লিকেশনটি তখন এই নকল DLL লোড করে, অজান্তেই আক্রমণকারীর কোডটি কার্যকর করে।
একবার সক্রিয় হয়ে গেলে, ক্ষতিকারক DLL একটি অতিরিক্ত পেলোড ডাউনলোড করার জন্য একটি লুকানো PowerShell কমান্ড চালু করে। এই গৌণ উপাদানটি Evelyn তথ্য চুরিকারীকে ইনজেক্ট এবং সক্রিয় করার জন্য দায়ী।
নিরাপত্তা প্রভাব এবং ঝুঁকি মূল্যায়ন
এভলিন তার গোপন তথ্য সংগ্রহের বিস্তৃত সুযোগ এবং শক্তিশালী ফাঁকি দেওয়ার কৌশলের কারণে একটি উচ্চ-ঝুঁকিপূর্ণ হুমকি। ব্রাউজার ডেটা, সিস্টেম ইন্টেলিজেন্স এবং ক্রিপ্টোকারেন্সি সম্পদের উপর এর ফোকাস সংক্রমণকে বিশেষভাবে বিপজ্জনক করে তোলে। এই চুরিকারীর দ্বারা আপস আর্থিক ক্ষতি, অ্যাকাউন্ট দখল এবং পরিচয় চুরির কারণ হতে পারে, যা শক্তিশালী এন্ডপয়েন্ট সুরক্ষা, সতর্ক এক্সটেনশন ইনস্টলেশন অনুশীলন এবং অস্বাভাবিক সিস্টেম আচরণের জন্য ক্রমাগত পর্যবেক্ষণের গুরুত্বকে তুলে ধরে।
