Evelyn Stealer
Evelyn er en sofistikeret informationsstjælende malware, der er bygget til i al hemmelighed at indsamle følsomme data, samtidig med at den aktivt undgår sikkerhedsanalyse og -detektering. Dens primære funktion er at indsamle værdifulde oplysninger fra inficerede systemer og overføre dem til en trusselsaktørs kommando-og-kontrol (C2) infrastruktur via FTP.
Tyveren er i stand til at indsamle en bred vifte af data, herunder gemte browseroplysninger, indhold af udklipsholder, Wi-Fi-adgangskoder, oplysninger om kryptovaluta-tegnebøger og detaljeret systeminformation. Når aggregeringen er færdig, komprimeres alt stjålet materiale til et ZIP-arkiv og overføres til angriberens FTP-server.
Indholdsfortegnelse
Lydløs opsætning og misbrug af Windows-funktioner
Når den køres, indlæser Evelyn dynamisk de Windows-komponenter, den skal bruge for at fungere, herunder funktionalitet til procesinjektion, adgang til filer og registreringsdatabaser, netværkskommunikation og overvågning af udklipsholder. Disse funktioner gør det muligt for malwaren at integrere sig dybt i systemet og understøtte dets mål mod datatyveri.
For at forblive skjult er Evelyn konstrueret til at undgå både manuel og automatiseret analyse. Før den aktiveres fuldt ud, evaluerer den sine omgivelser for at afgøre, om den bliver undersøgt.
Indbygget analyse og sandkasseundgåelse
Evelyn anvender adskillige antianalyseteknikker til at detektere virtuelle maskiner, debuggere og sikkerheds- eller forskningsværktøjer. Først efter at have bekræftet, at systemet ser ud til at være et ægte brugermiljø, fortsætter den.
På det tidspunkt opretter malwaren sine egne mapper i brugerens AppData-mappe, som den bruger til at gemme indsamlede oplysninger og understøttende filer.
Aggressiv browsermålretning og procesmanipulation
Malwaren starter med at indsamle browserdata, der allerede findes på systemet, og lukker derefter kørende browsere med magt. Dette forhindrer både datakonflikter og forbereder miljøet til den næste fase: injektion.
Evelyn kræver en specifik hjælpefil for at stjæle browserlogindata. Den kontrollerer først, om denne fil allerede findes i systemets TEMP-mappe. Hvis ikke, forsøger den at downloade filen fra sin FTP-server. Som et sidste alternativ søger den i den mappe, hvorfra selve malwaren kører.
Når filen er hentet, starter Evelyn den målrettede browser på en yderst kontrolleret måde og injicerer i hemmelighed den skadelige komponent i den. Dette giver tyveren mulighed for at omgå indbyggede browserbeskyttelser. For at undgå at advare brugeren eller sikkerhedssoftwaren startes browseren med adskillige skjulte parametre, der undertrykker vinduer, deaktiverer sikkerhedsfunktioner og udvidelser, forhindrer oprettelse af logfiler og skjuler synlige tegn på, at browseren blev åbnet. Disse foranstaltninger muliggør lydløs udtrækning af browserdata.
Udvidelse af dataindsamlingen
Ud over browsere tager Evelyn skærmbilleder af skrivebordet og samler omfattende systemoplysninger, herunder det aktuelle brugernavn, computernavn, operativsystemversion, installerede applikationer, kørende processer og VPN-konfigurationer. Malwaren er også aktivt rettet mod kryptovaluta-wallets, overvåger udklipsholderen og henter gemte Wi-Fi-legitimationsoplysninger.
Alle indsamlede oplysninger konsolideres, komprimeres til et ZIP-arkiv og eksporteres til angriberens C2-server via FTP.
Infektionsvektor: En trojaniseret udviklerudvidelse
Evelyn distribueres via en ondsindet Visual Studio Code-udvidelse, der udgiver sig for at være et legitimt tilføjelsesprogram. Når udvidelsen installeres, sletter den en falsk fil, der er forklædt som et normalt Lightshot dynamisk linkbibliotek (DLL). Det ægte Lightshot-program indlæser derefter denne falske DLL og udfører ubevidst angriberens kode.
Når den er aktiv, starter den skadelige DLL en skjult PowerShell-kommando for at downloade en ekstra nyttelast. Denne sekundære komponent er ansvarlig for at injicere og aktivere Evelyn-informationstyveren.
Sikkerhedspåvirkning og risikovurdering
Evelyn repræsenterer en højrisikotrussel på grund af sin stealth, brede dataindsamlingsomfang og stærke undvigelsesteknikker. Dens fokus på browserdata, systemintelligens og kryptovalutaaktiver gør infektioner særligt farlige. Kompromittering af denne tyv kan resultere i økonomiske tab, kontoovertagelser og identitetstyveri, hvilket understreger vigtigheden af stærk endpoint-beskyttelse, forsigtige praksisser for installation af udvidelser og løbende overvågning af unormal systemadfærd.
