Evelyn Stealer
Evelyn on hienostunut tietoja varastava haittaohjelma, joka on rakennettu keräämään hiljaisesti arkaluonteisia tietoja ja välttämään aktiivisesti tietoturva-analyysiä ja -havaitsemista. Sen ensisijainen tehtävä on kerätä arvokasta tietoa tartunnan saaneista järjestelmistä ja siirtää se uhkatoimijan komento- ja hallintainfrastruktuuriin (C2) FTP:n kautta.
Varastaja pystyy keräämään laajan valikoiman tietoja, kuten tallennettuja selaintietoja, leikepöydän sisältöä, Wi-Fi-salasanoja, kryptovaluuttalompakon tietoja ja yksityiskohtaisia järjestelmätietoja. Kun tietojen kerääminen on valmis, kaikki varastettu materiaali pakataan ZIP-arkistoon ja lähetetään hyökkääjän FTP-palvelimelle.
Sisällysluettelo
Hiljainen asennus ja Windowsin ominaisuuksien väärinkäyttö
Suoritettaessa Evelyn lataa dynaamisesti Windowsin komponentit, joita se tarvitsee toimiakseen, mukaan lukien prosessien injektoinnin, tiedostojen ja rekisterien käytön, verkkoyhteyden ja leikepöydän valvonnan. Näiden ominaisuuksien ansiosta haittaohjelma voi integroitua syvälle järjestelmään ja tukea sen tietojen varastamisen tavoitteita.
Pysyäkseen piilossa Evelyn on suunniteltu väistämään sekä manuaalista että automaattista analyysia. Ennen täydellistä aktivoitumista se arvioi ympäristöään selvittääkseen, tutkitaanko sitä.
Sisäänrakennettu analyysi ja hiekkalaatikon väistö
Evelyn käyttää useita anti-analyysitekniikoita virtuaalikoneiden, debuggerien sekä tietoturva- tai tutkimustyökalujen havaitsemiseen. Vasta vahvistettuaan, että järjestelmä näyttää olevan aito käyttäjäympäristö, se jatkaa.
Tässä vaiheessa haittaohjelma luo omat hakemistonsa käyttäjän AppData-kansioon, jota se käyttää kerättyjen tietojen ja tukitiedostojen tallentamiseen.
Aggressiivinen selainkohdistaminen ja prosessien manipulointi
Haittaohjelma aloittaa keräämällä järjestelmässä jo olevia selaintietoja ja sulkee sitten käynnissä olevat selaimet väkisin. Tämä sekä estää tietoristiriitoja että valmistelee ympäristön seuraavalle vaiheelle: injektoinnille.
Evelyn tarvitsee tietyn aputiedoston selaimen kirjautumistietojen varastamiseen. Se tarkistaa ensin, onko tiedosto jo olemassa järjestelmän TEMP-hakemistossa. Jos ei, se yrittää ladata tiedoston FTP-palvelimelta. Viimeisenä varmistuksena se etsii hakemistosta, josta haittaohjelma itse toimii.
Kun tiedosto on hankittu, Evelyn käynnistää kohdeselaimen tarkasti hallitusti ja lisää siihen salaa haitallisen komponentin. Näin varastaja voi ohittaa selaimen sisäänrakennetut suojaukset. Jotta käyttäjälle tai tietoturvaohjelmistolle ei ilmoiteta, selain käynnistetään useilla piilotetuilla parametreilla, jotka estävät ikkunat, poistavat käytöstä suojausominaisuudet ja laajennukset, estävät lokien luomisen ja piilottavat kaikki näkyvät merkit selaimen avaamisesta. Nämä toimenpiteet mahdollistavat selaintietojen hiljaisen poiminnan.
Tiedonkeruun laajentaminen
Selainten lisäksi Evelyn ottaa kuvakaappauksia työpöydältä ja kokoaa niistä laajoja järjestelmätietoja, kuten nykyisen käyttäjätunnuksen, tietokoneen nimen, käyttöjärjestelmän version, asennetut sovellukset, käynnissä olevat prosessit ja VPN-määritykset. Haittaohjelma kohdistaa aktiivisesti myös kryptovaluuttalompakot, valvoo leikepöytää ja hakee tallennetut Wi-Fi-tunnukset.
Kaikki kerätyt tiedot yhdistetään, pakataan ZIP-arkistoon ja suodatetaan hyökkääjän C2-palvelimelle FTP:n kautta.
Tartuntavektori: Troijalainen kehittäjälaajennus
Evelyn leviää haitallisen Visual Studio Code -laajennuksen kautta, joka tekeytyy lailliseksi lisäosaksi. Asennuksen yhteydessä tämä laajennus pudottaa haavoittuneen tiedoston, joka on naamioitu tavalliseksi Lightshotin dynaamiseksi linkityskirjastoksi (DLL). Aito Lightshot-sovellus lataa sitten tämän väärennetyn DLL-tiedoston ja suorittaa tietämättään hyökkääjän koodin.
Kun haitallinen DLL on aktiivinen, se käynnistää piilotetun PowerShell-komennon ladatakseen lisähyötykuorman. Tämä toissijainen komponentti vastaa Evelyn-tietojen varastajan syöttämisestä ja aktivoinnista.
Turvallisuusvaikutusten ja riskien arviointi
Evelyn edustaa riskialtista uhkaa hiiviskelykykynsä, laajan tiedonkeruualueensa ja vahvojen väistötekniikoidensa ansiosta. Sen keskittyminen selaintietoihin, järjestelmätietoihin ja kryptovaluuttavaroihin tekee tartunnoista erityisen vaarallisia. Tämän varkaan tekemä murtautuminen voi johtaa taloudellisiin menetyksiin, tilien kaappauksiin ja identiteettivarkauksiin, mikä korostaa vahvan päätelaitteiden suojauksen, varovaisten laajennusten asennuskäytäntöjen ja jatkuvan valvonnan merkitystä poikkeavan järjestelmäkäyttäytymisen varalta.
