اولین استیلر
Evelyn یک بدافزار پیشرفتهی سارق اطلاعات است که برای جمعآوری بیسروصدای دادههای حساس ساخته شده است، در حالی که به طور فعال از تجزیه و تحلیل و تشخیص امنیتی اجتناب میکند. عملکرد اصلی آن برداشت اطلاعات ارزشمند از سیستمهای آلوده و انتقال آن به زیرساخت فرمان و کنترل (C2) یک عامل تهدید از طریق FTP است.
این سارق قادر به جمعآوری طیف گستردهای از دادهها، از جمله اعتبارنامههای ذخیرهشده مرورگر، محتویات کلیپبورد، رمزهای عبور Wi-Fi، اطلاعات کیف پول ارزهای دیجیتال و اطلاعات دقیق سیستم است. پس از اتمام جمعآوری، تمام اطلاعات سرقتشده در یک بایگانی ZIP فشرده شده و به سرور FTP مهاجم منتقل میشود.
فهرست مطالب
راهاندازی بیسروصدا و سوءاستفاده از قابلیتهای ویندوز
وقتی Evelyn اجرا میشود، به صورت پویا اجزای ویندوز مورد نیاز برای عملکرد خود، از جمله قابلیت تزریق فرآیند، دسترسی به فایل و رجیستری، ارتباط شبکه و نظارت بر کلیپبورد را بارگذاری میکند. این قابلیتها به بدافزار اجازه میدهد تا عمیقاً در سیستم ادغام شود و از اهداف سرقت دادههای خود پشتیبانی کند.
برای پنهان ماندن، Evelyn طوری مهندسی شده است که از تجزیه و تحلیل دستی و خودکار فرار کند. قبل از فعال شدن کامل، محیط خود را ارزیابی میکند تا مشخص شود که آیا مورد بررسی قرار میگیرد یا خیر.
تجزیه و تحلیل داخلی و گریز از سندباکس
Evelyn از تکنیکهای ضد تحلیل متعددی برای شناسایی ماشینهای مجازی، اشکالزداها و ابزارهای امنیتی یا تحقیقاتی استفاده میکند. تنها پس از تأیید اینکه سیستم به نظر یک محیط کاربری واقعی است، ادامه میدهد.
در آن مرحله، بدافزار دایرکتوریهای خود را در پوشه AppData کاربر ایجاد میکند که از آنها برای ذخیره اطلاعات جمعآوریشده و فایلهای پشتیبانی استفاده میکند.
هدفگیری تهاجمی مرورگر و دستکاری فرآیندها
این بدافزار با جمعآوری هرگونه داده مرورگر موجود در سیستم شروع میکند و سپس مرورگرهای در حال اجرا را به زور میبندد. این کار هم از تداخل دادهها جلوگیری میکند و هم محیط را برای مرحله بعدی یعنی تزریق آماده میکند.
Evelyn برای سرقت اطلاعات ورود به سیستم مرورگر به یک فایل کمکی خاص نیاز دارد. ابتدا بررسی میکند که آیا این فایل از قبل در دایرکتوری TEMP سیستم وجود دارد یا خیر. در صورت عدم وجود، سعی میکند فایل را از سرور FTP خود دانلود کند. به عنوان آخرین اقدام، دایرکتوری را که خود بدافزار از آن اجرا میشود، جستجو میکند.
پس از دریافت فایل، Evelyn مرورگر مورد نظر را به شیوهای بسیار کنترلشده اجرا میکند و مخفیانه مؤلفه مخرب را به آن تزریق میکند. این امر به سارق اجازه میدهد تا از محافظتهای داخلی مرورگر عبور کند. برای جلوگیری از هشدار به کاربر یا نرمافزار امنیتی، مرورگر با پارامترهای پنهان متعددی راهاندازی میشود که پنجرهها را مسدود میکند، ویژگیها و افزونههای امنیتی را غیرفعال میکند، از ایجاد گزارش جلوگیری میکند و هرگونه نشانه قابل مشاهدهای مبنی بر باز بودن مرورگر را پنهان میکند. این اقدامات امکان استخراج بیسروصدای دادههای مرورگر را فراهم میکند.
گسترش برداشت دادهها
فراتر از مرورگرها، Evelyn از دسکتاپ اسکرینشات میگیرد و جزئیات گستردهای از سیستم، از جمله نام کاربری فعلی، نام رایانه، نسخه سیستم عامل، برنامههای نصب شده، فرآیندهای در حال اجرا و پیکربندی VPN را گردآوری میکند. این بدافزار همچنین به طور فعال کیف پولهای ارز دیجیتال را هدف قرار میدهد، کلیپبورد را رصد میکند و اعتبارنامههای ذخیره شده Wi-Fi را بازیابی میکند.
تمام اطلاعات جمعآوریشده تجمیع، در یک فایل فشرده ZIP فشرده و از طریق FTP به سرور C2 مهاجم ارسال میشود.
عامل آلودگی: یک افزونهی توسعهدهندهی آلوده به تروجان
Evelyn از طریق یک افزونهی مخرب Visual Studio Code که خود را به عنوان یک افزونهی قانونی جا میزند، توزیع میشود. پس از نصب، این افزونه یک فایل مخرب را که به عنوان یک کتابخانهی پیوند پویا (DLL) معمولی Lightshot پنهان شده است، رها میکند. سپس برنامهی اصلی Lightshot این DLL جعلی را بارگذاری میکند و ناخودآگاه کد مهاجم را اجرا میکند.
پس از فعال شدن، DLL مخرب یک دستور PowerShell مخفی را برای دانلود یک payload اضافی اجرا میکند. این جزء ثانویه مسئول تزریق و فعالسازی ابزار سرقت اطلاعات Evelyn است.
ارزیابی تأثیر امنیتی و ریسک
Evelyn به دلیل مخفیکاری، دامنه وسیع جمعآوری دادهها و تکنیکهای قوی فرار، یک تهدید پرخطر محسوب میشود. تمرکز آن بر دادههای مرورگر، اطلاعات سیستم و داراییهای ارز دیجیتال، آلودگیها را به طور ویژهای خطرناک میکند. نفوذ توسط این سارق میتواند منجر به خسارات مالی، تصاحب حساب و سرقت هویت شود، که این امر اهمیت محافظت قوی از نقاط پایانی، شیوههای نصب محتاطانه افزونهها و نظارت مداوم بر رفتار غیرعادی سیستم را برجسته میکند.
