Evelyn Stealer
Evelyn je sofistikovaný malware kradející informace, který je navržen tak, aby nenápadně shromažďoval citlivá data a zároveň se aktivně vyhýbal bezpečnostní analýze a detekci. Jeho primární funkcí je shromažďovat cenné informace z infikovaných systémů a přes FTP je přenášet do velitelsko-řídicí (C2) infrastruktury útočníka.
Zloděj je schopen shromažďovat širokou škálu dat, včetně uložených přihlašovacích údajů prohlížeče, obsahu schránky, hesel k Wi-Fi, informací o kryptoměnových peněženkách a podrobných systémových informací. Po dokončení agregace je veškerý ukradený materiál komprimován do ZIP archivu a odeslán na FTP server útočníka.
Obsah
Tichá instalace a zneužití funkcí systému Windows
Po spuštění Evelyn dynamicky načítá komponenty systému Windows, které potřebuje k provozu, včetně funkcí pro vkládání procesů, přístup k souborům a registrům, síťovou komunikaci a monitorování schránky. Tyto funkce umožňují malwaru hluboce se integrovat do systému a podporovat jeho cíle v oblasti krádeže dat.
Aby zůstala nenápadná, je Evelyn navržena tak, aby se vyhýbala manuální i automatické analýze. Před plnou aktivací vyhodnotí své prostředí, aby zjistila, zda je prověřována.
Vestavěná analýza a obcházení sandboxu
Evelyn využívá několik antianalytických technik k detekci virtuálních strojů, debuggerů a bezpečnostních nebo výzkumných nástrojů. Pokračování probíhá až po ověření, že systém se jeví jako skutečné uživatelské prostředí.
V této fázi si malware vytvoří vlastní adresáře ve složce AppData uživatele, které používá k ukládání shromážděných informací a podpůrných souborů.
Agresivní cílení prohlížečů a manipulace s procesy
Malware začíná shromažďováním všech dat prohlížeče, která jsou již v systému přítomna, a poté násilně ukončuje spuštěné prohlížeče. Tím se zabrání konfliktům dat a zároveň se připraví prostředí na další fázi: injekci.
Evelyn potřebuje specifický pomocný soubor k odcizení přihlašovacích údajů prohlížeče. Nejprve zkontroluje, zda tento soubor již existuje v adresáři TEMP systému. Pokud ne, pokusí se jej stáhnout z FTP serveru. Jako poslední možnost prohledá adresář, ze kterého běží samotný malware.
Jakmile je soubor získán, Evelyn spustí cílový prohlížeč vysoce kontrolovaným způsobem a nenápadně do něj vloží škodlivou komponentu. To umožňuje zloději obejít vestavěnou ochranu prohlížeče. Aby se zabránilo upozornění uživatele nebo bezpečnostního softwaru, je prohlížeč spuštěn s řadou skrytých parametrů, které potlačují okna, deaktivují bezpečnostní funkce a rozšíření, zabraňují vytváření protokolů a skrývají veškeré viditelné známky toho, že byl prohlížeč otevřen. Tato opatření umožňují tichou extrakci dat z prohlížeče.
Rozšíření sběru dat
Kromě prohlížečů Evelyn pořizuje snímky obrazovky počítače a shromažďuje rozsáhlé systémové podrobnosti, včetně aktuálního uživatelského jména, názvu počítače, verze operačního systému, nainstalovaných aplikací, spuštěných procesů a konfigurace VPN. Malware také aktivně cílí na kryptoměnové peněženky, monitoruje schránku a načítá uložené přihlašovací údaje k Wi-Fi.
Všechny shromážděné informace jsou konsolidovány, komprimovány do ZIP archivu a přes FTP odeslány na C2 server útočníka.
Vektor infekce: Trojanizovaný vývojářský extension
Evelyn je distribuován prostřednictvím škodlivého rozšíření Visual Studio Code, které se vydává za legitimní doplněk. Po instalaci toto rozšíření uvolní falešný soubor maskovaný jako běžná dynamická knihovna (DLL) Lightshot. Originální aplikace Lightshot poté načte tuto falešnou DLL a nevědomky spouští kód útočníka.
Jakmile je škodlivá knihovna DLL aktivní, spustí skrytý příkaz PowerShellu pro stažení dalšího datového obsahu. Tato sekundární komponenta je zodpovědná za vložení a aktivaci krypty informací Evelyn.
Posouzení dopadu na bezpečnost a rizik
Evelyn představuje vysoce rizikovou hrozbu kvůli své nenápadnosti, širokému rozsahu sběru dat a silným technikám obcházení. Jeho zaměření na data prohlížeče, systémové informace a kryptoměnové aktiva činí infekce obzvláště nebezpečnými. Narušení bezpečnosti tímto zlodějem může vést k finančním ztrátám, převzetí kontroly nad účty a krádeži identity, což zdůrazňuje důležitost silné ochrany koncových bodů, opatrných postupů instalace rozšíření a neustálého monitorování anomálního chování systému.
