Evelyn Stealer
Evelyn on keerukas infovarastusprogramm, mis on loodud tundlike andmete vaikseks kogumiseks, vältides samal ajal aktiivselt turvaanalüüsi ja tuvastamist. Selle peamine ülesanne on koguda nakatunud süsteemidest väärtuslikku teavet ja edastada see FTP kaudu ohu tekitaja juhtimis- ja kontrolliinfrastruktuuri (C2).
Varas suudab koguda laia valikut andmeid, sealhulgas salvestatud brauseri sisselogimisandmeid, lõikelaua sisu, WiFi-paroole, krüptovaluuta rahakoti teavet ja üksikasjalikku süsteemiteavet. Kui andmete koondamine on lõppenud, pakitakse kogu varastatud materjal ZIP-arhiivi ja edastatakse ründaja FTP-serverisse.
Sisukord
Vaikne seadistamine ja Windowsi võimaluste kuritarvitamine
Käivitamisel laadib Evelyn dünaamiliselt kõik Windowsi komponendid, mida see vajab tööks, sealhulgas protsesside süstimise, failidele ja registrile juurdepääsu, võrgusuhtluse ja lõikelaua jälgimise funktsioonid. Need funktsioonid võimaldavad pahavaral süsteemi sügavalt integreeruda ja toetada selle andmevarguse eesmärke.
Varjatuna püsimiseks on Evelyn loodud nii, et see väldib nii käsitsi kui ka automaatselt tehtavaid analüüse. Enne täielikku aktiveerimist hindab see keskkonda, et teha kindlaks, kas seda uuritakse.
Sisseehitatud analüüs ja liivakastist kõrvalehoidumine
Evelyn kasutab virtuaalsete masinate, silumisprogrammide ning turva- või uurimistööriistade tuvastamiseks mitmeid analüüsivastaseid tehnikaid. Alles pärast süsteemi ehtsa kasutajakeskkonnana näimise kinnitamist jätkatakse tööd.
Selles etapis loob pahavara kasutaja AppData kausta oma kataloogid, mida ta kasutab kogutud teabe ja tugifailide salvestamiseks.
Agressiivne brauseri sihtimine ja protsesside manipuleerimine
Pahavara alustab süsteemis juba olevate brauseriandmete kogumisega ja seejärel sulgeb sunniviisiliselt töötavad brauserid. See hoiab ära nii andmekonfliktid kui ka valmistab keskkonna ette järgmiseks etapiks: süstimiseks.
Evelyn vajab brauseri sisselogimisandmete varastamiseks spetsiaalset abifaili. Esmalt kontrollib see, kas see fail on juba süsteemi TEMP-kataloogis olemas. Kui ei, siis proovib see faili oma FTP-serverist alla laadida. Viimase varuvariandina otsib see kataloogist, kus pahavara ise töötab.
Kui fail on hangitud, käivitab Evelyn sihtmärgiks oleva brauseri väga kontrollitud viisil ja süstib sinna salaja pahatahtliku komponendi. See võimaldab vargamil sisseehitatud brauserikaitsetest mööda hiilida. Kasutaja või turvatarkvara hoiatamise vältimiseks käivitatakse brauser arvukate varjatud parameetritega, mis blokeerivad aknad, keelavad turvafunktsioonid ja laiendused, takistavad logide loomist ja peidavad kõik nähtavad märgid brauseri avamisest. Need meetmed võimaldavad brauseriandmete vaikset ekstraheerimist.
Andmete kogumise laiendamine
Lisaks brauseritele jäädvustab Evelyn töölaua ekraanipilte ja kogub ulatuslikke süsteemiandmeid, sealhulgas praeguse kasutajanime, arvuti nime, operatsioonisüsteemi versiooni, installitud rakendused, töötavad protsessid ja VPN-i konfiguratsioonid. Pahavara sihib aktiivselt ka krüptovaluuta rahakotte, jälgib lõikelauda ja hangib salvestatud WiFi-mandaate.
Kogu kogutud teave koondatakse, pakitakse ZIP-arhiivi ja filtreeritakse FTP kaudu ründaja C2-serverisse.
Nakkusvektor: troojalase nakatusega arendaja laiendus
Evelyn levib pahatahtliku Visual Studio koodilaienduse kaudu, mis teeskleb end legitiimse lisandmoodulina. Installimisel saadab see laiendus võltsfaili, mis on maskeeritud tavaliseks Lightshoti dünaamiliselt lingitavaks teegiks (DLL). Seejärel laadib ehtne Lightshoti rakendus selle võltsitud DLL-faili, käivitades teadmatult ründaja koodi.
Kui pahatahtlik DLL on aktiivne, käivitab see peidetud PowerShelli käsu täiendava kasuliku koormuse allalaadimiseks. See teisejärguline komponent vastutab Evelyni infovarastaja süstimise ja aktiveerimise eest.
Turvalisuse mõju ja riskide hindamine
Evelyn kujutab endast kõrge riskiga ohtu oma varjatuse, laiaulatusliku andmekogumise ulatuse ja tugevate kõrvalehoidmistehnikate tõttu. Keskendudes brauseriandmetele, süsteemiteabele ja krüptovaluutavaradele, muudab need nakkused eriti ohtlikuks. Selle varga poolt sissetung võib kaasa tuua rahalisi kaotusi, kontode ülevõtmist ja identiteedivargust, mis rõhutab tugeva lõpp-punkti kaitse, ettevaatlike laienduste installimise tavade ja pideva süsteemikäitumise jälgimise olulisust.
