Έβελιν Στίλερ
Το Evelyn είναι ένα εξελιγμένο κακόβουλο λογισμικό κλοπής πληροφοριών που έχει σχεδιαστεί για να συλλέγει αθόρυβα ευαίσθητα δεδομένα, αποφεύγοντας παράλληλα την ανάλυση και τον εντοπισμό ασφαλείας. Η κύρια λειτουργία του είναι να συλλέγει πολύτιμες πληροφορίες από μολυσμένα συστήματα και να τις αποστέλλει στην υποδομή εντολών και ελέγχου (C2) ενός απειλητικού παράγοντα μέσω FTP.
Ο κλέφτης είναι ικανός να συλλέξει ένα ευρύ φάσμα δεδομένων, συμπεριλαμβανομένων αποθηκευμένων διαπιστευτηρίων προγράμματος περιήγησης, περιεχομένου πρόχειρου, κωδικών πρόσβασης Wi-Fi, πληροφοριών πορτοφολιού κρυπτονομισμάτων και λεπτομερών πληροφοριών συστήματος. Μόλις ολοκληρωθεί η συγκέντρωση, όλο το κλεμμένο υλικό συμπιέζεται σε ένα αρχείο ZIP και μεταδίδεται στον διακομιστή FTP του εισβολέα.
Πίνακας περιεχομένων
Σιωπηλή εγκατάσταση και κατάχρηση δυνατοτήτων των Windows
Όταν εκτελείται, η Evelyn φορτώνει δυναμικά τα στοιχεία των Windows που χρειάζεται για να λειτουργήσει, συμπεριλαμβανομένων λειτουργιών για εισαγωγή διεργασιών, πρόσβαση σε αρχεία και μητρώο, επικοινωνία δικτύου και παρακολούθηση πρόχειρου. Αυτές οι δυνατότητες επιτρέπουν στο κακόβουλο λογισμικό να ενσωματωθεί βαθιά στο σύστημα και να υποστηρίξει τους στόχους του για κλοπή δεδομένων.
Για να παραμένει μυστική, η Evelyn έχει σχεδιαστεί έτσι ώστε να αποφεύγει τόσο τη χειροκίνητη όσο και την αυτοματοποιημένη ανάλυση. Πριν από την πλήρη ενεργοποίησή της, αξιολογεί το περιβάλλον της για να διαπιστώσει εάν εξετάζεται.
Ενσωματωμένη ανάλυση και αποφυγή sandbox
Η Evelyn χρησιμοποιεί πολλαπλές τεχνικές κατά της ανάλυσης για την ανίχνευση εικονικών μηχανών, προγραμμάτων εντοπισμού σφαλμάτων και εργαλείων ασφαλείας ή έρευνας. Μόνο αφού επιβεβαιωθεί ότι το σύστημα φαίνεται να είναι ένα γνήσιο περιβάλλον χρήστη, προχωρά η διαδικασία.
Σε αυτό το στάδιο, το κακόβουλο λογισμικό δημιουργεί τους δικούς του καταλόγους μέσα στον φάκελο AppData του χρήστη, τους οποίους χρησιμοποιεί για την αποθήκευση πληροφοριών που έχει συλλέξει και υποστηρικτικών αρχείων.
Επιθετική στόχευση προγράμματος περιήγησης και χειραγώγηση διαδικασιών
Το κακόβουλο λογισμικό ξεκινά συλλέγοντας τυχόν δεδομένα προγράμματος περιήγησης που υπάρχουν ήδη στο σύστημα και στη συνέχεια κλείνει αναγκαστικά τα προγράμματα περιήγησης που εκτελούνται. Αυτό αποτρέπει τις διενέξεις δεδομένων και προετοιμάζει το περιβάλλον για την επόμενη φάση: την έγχυση.
Η Evelyn απαιτεί ένα συγκεκριμένο βοηθητικό αρχείο για να κλέψει τα δεδομένα σύνδεσης του προγράμματος περιήγησης. Αρχικά, ελέγχει εάν αυτό το αρχείο υπάρχει ήδη στον κατάλογο TEMP του συστήματος. Εάν όχι, επιχειρεί να κατεβάσει το αρχείο από τον διακομιστή FTP. Ως τελικό εφεδρικό τρόπο, αναζητά τον κατάλογο από τον οποίο εκτελείται το ίδιο το κακόβουλο λογισμικό.
Μόλις ληφθεί το αρχείο, η Evelyn εκκινεί το στοχευμένο πρόγραμμα περιήγησης με έναν εξαιρετικά ελεγχόμενο τρόπο και εισάγει κρυφά το κακόβουλο στοιχείο σε αυτό. Αυτό επιτρέπει στον κλέφτη να παρακάμψει τις ενσωματωμένες προστασίες του προγράμματος περιήγησης. Για να αποφευχθεί η ειδοποίηση του χρήστη ή του λογισμικού ασφαλείας, το πρόγραμμα περιήγησης εκκινείται με πολλές κρυφές παραμέτρους που καταστέλλουν τα παράθυρα, απενεργοποιούν τις λειτουργίες ασφαλείας και τις επεκτάσεις, αποτρέπουν τη δημιουργία αρχείων καταγραφής και αποκρύπτουν τυχόν ορατά σημάδια ότι το πρόγραμμα περιήγησης άνοιξε. Αυτά τα μέτρα επιτρέπουν την αθόρυβη εξαγωγή δεδομένων του προγράμματος περιήγησης.
Επέκταση της Συγκομιδής Δεδομένων
Πέρα από τα προγράμματα περιήγησης, η Evelyn καταγράφει στιγμιότυπα οθόνης της επιφάνειας εργασίας και συγκεντρώνει εκτεταμένες λεπτομέρειες συστήματος, όπως το τρέχον όνομα χρήστη, το όνομα του υπολογιστή, την έκδοση του λειτουργικού συστήματος, τις εγκατεστημένες εφαρμογές, τις διεργασίες που εκτελούνται και τις διαμορφώσεις VPN. Το κακόβουλο λογισμικό στοχεύει επίσης ενεργά πορτοφόλια κρυπτονομισμάτων, παρακολουθεί το πρόχειρο και ανακτά αποθηκευμένα διαπιστευτήρια Wi-Fi.
Όλες οι πληροφορίες που συλλέγονται ενοποιούνται, συμπιέζονται σε ένα αρχείο ZIP και αποστέλλονται στον διακομιστή C2 του εισβολέα μέσω FTP.
Διάνυσμα μόλυνσης: Μια επέκταση προγραμματιστή που έχει υποστεί Trojan
Το Evelyn διανέμεται μέσω μιας κακόβουλης επέκτασης του Visual Studio Code που παρουσιάζεται ως νόμιμο πρόσθετο. Όταν εγκαθίσταται, αυτή η επέκταση αποδεσμεύει ένα κακόβουλο αρχείο που μεταμφιέζεται σε μια κανονική βιβλιοθήκη δυναμικής σύνδεσης (DLL) του Lightshot. Στη συνέχεια, η γνήσια εφαρμογή Lightshot φορτώνει αυτό το ψεύτικο DLL, εκτελώντας εν αγνοία του τον κώδικα του εισβολέα.
Μόλις ενεργοποιηθεί, το κακόβουλο DLL εκκινεί μια κρυφή εντολή PowerShell για να κατεβάσει ένα επιπλέον ωφέλιμο φορτίο. Αυτό το δευτερεύον στοιχείο είναι υπεύθυνο για την εισαγωγή και την ενεργοποίηση του προγράμματος κλοπής πληροφοριών Evelyn.
Εκτίμηση Επιπτώσεων στην Ασφάλεια και Κινδύνου
Το Evelyn αποτελεί απειλή υψηλού κινδύνου λόγω της μυστικότητας, του ευρέος πεδίου συλλογής δεδομένων και των ισχυρών τεχνικών αποφυγής. Η εστίασή του σε δεδομένα προγράμματος περιήγησης, στην ευφυΐα συστήματος και στα περιουσιακά στοιχεία κρυπτονομισμάτων καθιστά τις μολύνσεις ιδιαίτερα επικίνδυνες. Η παραβίαση από αυτόν τον κλέφτη μπορεί να οδηγήσει σε οικονομικές απώλειες, καταλήψεις λογαριασμών και κλοπή ταυτότητας, υπογραμμίζοντας τη σημασία της ισχυρής προστασίας των τελικών σημείων, των προσεκτικών πρακτικών εγκατάστασης επεκτάσεων και της συνεχούς παρακολούθησης για ανώμαλη συμπεριφορά συστήματος.
