Evelyn Stealer
L'Evelyn és un programari maliciós sofisticat que roba informació i està dissenyat per recopilar dades sensibles de manera silenciosa, evitant activament l'anàlisi i la detecció de seguretat. La seva funció principal és recopilar informació valuosa dels sistemes infectats i exfiltrar-la a la infraestructura de comandament i control (C2) d'un actor d'amenaces a través d'FTP.
El lladre és capaç de recopilar una àmplia gamma de dades, incloent-hi credencials de navegador desades, contingut del porta-retalls, contrasenyes de Wi-Fi, informació de carteres de criptomonedes i intel·ligència detallada del sistema. Un cop finalitzada l'agregació, tot el material robat es comprimeix en un arxiu ZIP i es transmet al servidor FTP de l'atacant.
Taula de continguts
Configuració silenciosa i abús de les capacitats de Windows
Quan s'executa, Evelyn carrega dinàmicament els components de Windows que necessita per funcionar, incloent-hi la funcionalitat d'injecció de processos, accés a fitxers i registres, comunicació de xarxa i supervisió del porta-retalls. Aquestes capacitats permeten que el programari maliciós s'integri profundament al sistema i doni suport als seus objectius de robatori de dades.
Per mantenir-se encoberta, l'Evelyn està dissenyada per evadir tant l'anàlisi manual com l'automatitzada. Abans d'activar-se completament, avalua el seu entorn per determinar si s'està examinant.
Anàlisi integrada i evasió de sandbox
L'Evelyn utilitza múltiples tècniques d'antianàlisi per detectar màquines virtuals, depuradors i eines de seguretat o recerca. Només després de confirmar que el sistema sembla ser un entorn d'usuari genuí, continua.
En aquesta etapa, el programari maliciós crea els seus propis directoris dins de la carpeta AppData de l'usuari, que utilitza per emmagatzemar la informació recopilada i els fitxers de suport.
Segmentació agressiva del navegador i manipulació de processos
El programari maliciós comença recopilant totes les dades del navegador que ja hi ha al sistema i després tanca per la força els navegadors que s'executen. Això evita conflictes de dades i prepara l'entorn per a la fase següent: la injecció.
L'Evelyn necessita un fitxer auxiliar específic per robar les dades d'inici de sessió del navegador. Primer comprova si aquest fitxer ja existeix al directori TEMP del sistema. Si no, intenta descarregar el fitxer des del seu servidor FTP. Com a solució final, busca al directori des d'on s'executa el programari maliciós.
Un cop obtingut el fitxer, l'Evelyn inicia el navegador objectiu de manera altament controlada i hi injecta el component maliciós de manera encoberta. Això permet al lladre eludir les proteccions integrades del navegador. Per evitar alertar l'usuari o el programari de seguretat, el navegador s'inicia amb nombrosos paràmetres ocults que suprimeixen les finestres, desactiven les funcions i extensions de seguretat, impedeixen la creació de registres i amaguen qualsevol signe visible que el navegador s'ha obert. Aquestes mesures permeten l'extracció silenciosa de les dades del navegador.
Expansió de la recol·lecció de dades
Més enllà dels navegadors, Evelyn fa captures de pantalla de l'escriptori i recopila detalls exhaustius del sistema, com ara el nom d'usuari actual, el nom de l'ordinador, la versió del sistema operatiu, les aplicacions instal·lades, els processos en execució i les configuracions de VPN. El programari maliciós també ataca activament els moneders de criptomonedes, supervisa el porta-retalls i recupera les credencials Wi-Fi desades.
Tota la informació recopilada es consolida, es comprimeix en un arxiu ZIP i s'exfiltra al servidor C2 de l'atacant mitjançant FTP.
Vector d'infecció: una extensió de desenvolupador troiana
L'Evelyn es distribueix a través d'una extensió maliciosa de Visual Studio Code que es fa passar per un complement legítim. Quan s'instal·la, aquesta extensió descarrega un fitxer no autoritzat disfressat de biblioteca d'enllaç dinàmic (DLL) normal de Lightshot. L'aplicació genuïna de Lightshot carrega aquesta DLL falsa i executa el codi de l'atacant sense saber-ho.
Un cop activa, la DLL maliciosa inicia una ordre oculta de PowerShell per descarregar una càrrega útil addicional. Aquest component secundari és responsable d'injectar i activar el lladre d'informació Evelyn.
Avaluació d'impacte i risc de seguretat
L'Evelyn representa una amenaça d'alt risc a causa de la seva sigil·losi, l'ampli abast de la recopilació de dades i les potents tècniques d'evasió. El seu enfocament en les dades del navegador, la intel·ligència del sistema i els actius de criptomoneda fa que les infeccions siguin particularment perilloses. La infecció per part d'aquest lladre pot provocar pèrdues financeres, abús de comptes i robatori d'identitat, cosa que subratlla la importància d'una protecció sòlida dels endpoints, pràctiques d'instal·lació d'extensions prudents i una supervisió contínua del comportament anòmal del sistema.
