Evelyn Stealer

אוולין היא תוכנה זדונית מתוחכמת לגניבת מידע שנבנתה כדי לאסוף בשקט נתונים רגישים תוך הימנעות פעילה מניתוח וגילוי אבטחה. תפקידה העיקרי הוא לאסוף מידע יקר ערך ממערכות נגועות ולהעביר אותו לתשתית הפיקוד והבקרה (C2) של גורם איום דרך FTP.

הגנב מסוגל לאסוף מגוון רחב של נתונים, כולל פרטי דפדפן שנשמרו, תוכן לוח כתיבה, סיסמאות Wi-Fi, מידע על ארנקי מטבעות קריפטוגרפיים ומודיעין מערכת מפורט. לאחר השלמת הצבירה, כל החומר הגנוב נדחס לארכיון ZIP ומועבר לשרת ה-FTP של התוקף.

התקנה שקטה וניצול לרעה של יכולות Windows

כאשר היא מופעלת, Evelyn טוענת באופן דינמי את רכיבי Windows הדרושים לה להפעלה, כולל פונקציונליות להזרקת תהליכים, גישה לקבצים ורישום, תקשורת רשת וניטור לוח כתיבה. יכולות אלו מאפשרות לתוכנה הזדונית להשתלב עמוק במערכת ולתמוך ביעדי גניבת הנתונים שלה.

כדי להישאר חשאי, אוולין מתוכננת להתחמק מניתוח ידני ואוטומטי כאחד. לפני הפעלה מלאה, היא מעריכה את סביבתה כדי לקבוע האם היא נבדקת.

ניתוח מובנה והתחמקות מארגז חול

אוולין משתמשת בטכניקות אנטי-אנליזה מרובות כדי לזהות מכונות וירטואליות, ניפוי באגים וכלי אבטחה או מחקר. רק לאחר אישור שהמערכת נראית כסביבת משתמש אמיתית, היא ממשיכה.

בשלב זה, הנוזקה יוצרת ספריות משלה בתוך תיקיית AppData של המשתמש, בהן היא משתמשת לאחסון מידע שנאסף וקבצים תומכים.

מיקוד אגרסיבי בדפדפנים ומניפולציה של תהליכים

התוכנה הזדונית מתחילה באיסוף נתוני דפדפן שכבר קיימים במערכת ולאחר מכן סוגרת בכוח דפדפנים הפועלים. זה גם מונע התנגשויות נתונים וגם מכין את הסביבה לשלב הבא: הזרקה.

אוולין דורשת קובץ עזר ספציפי כדי לגנוב נתוני כניסה לדפדפן. תחילה היא בודקת האם קובץ זה כבר קיים בספריית TEMP של המערכת. אם לא, היא מנסה להוריד את הקובץ משרת ה-FTP שלה. כגיבוי אחרון, היא מחפשת את הספרייה שממנה פועלת התוכנה הזדונית עצמה.

לאחר השגת הקובץ, אוולין מפעילה את הדפדפן המבוקר בצורה מבוקרת ביותר ומזריקה לתוכו באופן חשאי את הרכיב הזדוני. זה מאפשר לגונב לעקוף הגנות מובנות של הדפדפן. כדי להימנע מהתראות למשתמש או לתוכנת האבטחה, הדפדפן מופעל באמצעות פרמטרים נסתרים רבים שמדכאים חלונות, משביתים תכונות אבטחה ותוספים, מונעים יצירת יומני רישום ומסתירים כל סימן גלוי לכך שהדפדפן נפתח. אמצעים אלה מאפשרים חילוץ שקט של נתוני דפדפן.

הרחבת איסוף הנתונים

מעבר לדפדפנים, אוולין מצלמת צילומי מסך של שולחן העבודה ואוספת פרטים נרחבים על המערכת, כולל שם המשתמש הנוכחי, שם המחשב, גרסת מערכת ההפעלה, יישומים מותקנים, תהליכים פועלים ותצורות VPN. התוכנה הזדונית מכוונת באופן פעיל גם לארנקי קריפטו, מנטרת את הלוח ומאחזרת פרטי Wi-Fi שנשמרו.

כל המידע שנאסף מאוחד, דחוס לארכיון ZIP, ומועבר לשרת C2 של התוקף באמצעות FTP.

וקטור זיהום: הרחבת מפתחים טרויאנית

אוולין מופצת באמצעות תוסף Visual Studio Code זדוני המתחזה לתוסף לגיטימי. לאחר התקנתו, תוסף זה משליך קובץ סורר במסווה של ספריית קישורים דינמית (DLL) רגילה של Lightshot. לאחר מכן, אפליקציית Lightshot המקורית טוענת את קובץ ה-DLL המזויף הזה, ומבצעת מבלי דעת את הקוד של התוקף.

לאחר פעילותו, קובץ ה-DLL הזדוני מפעיל פקודת PowerShell נסתרת כדי להוריד מטען נוסף. רכיב משני זה אחראי על הזרקה והפעלה של גנב המידע של Evelyn.

הערכת השפעה וסיכונים ביטחוניים

אוולין מייצגת איום בסיכון גבוה בשל החמקנות שלה, היקף איסוף הנתונים הרחב וטכניקות ההתחמקות החזקות שלה. המיקוד שלה בנתוני דפדפן, בינת מערכת ונכסי קריפטו הופך את ההדבקות למסוכנות במיוחד. פגיעה על ידי גונב זה עלולה לגרום להפסדים כספיים, השתלטות על חשבונות וגניבת זהות, דבר המדגיש את החשיבות של הגנה חזקה על נקודות קצה, נהלי התקנת הרחבות זהירים וניטור מתמיד אחר התנהגות מערכת חריגה.