Evelyn स्टीलर
एवलिन एक परिष्कृत मैलवेयर है जो संवेदनशील डेटा को चुपचाप इकट्ठा करने के लिए बनाया गया है, साथ ही यह सुरक्षा विश्लेषण और पहचान से भी सक्रिय रूप से बचता है। इसका मुख्य कार्य संक्रमित सिस्टम से मूल्यवान जानकारी प्राप्त करना और उसे एफटीपी के माध्यम से किसी हमलावर के कमांड-एंड-कंट्रोल (सी2) इंफ्रास्ट्रक्चर तक पहुंचाना है।
यह डेटा चुराने वाला उपकरण ब्राउज़र क्रेडेंशियल्स, क्लिपबोर्ड की सामग्री, वाई-फाई पासवर्ड, क्रिप्टोकरेंसी वॉलेट की जानकारी और सिस्टम की विस्तृत जानकारी सहित कई प्रकार के डेटा को इकट्ठा करने में सक्षम है। डेटा एकत्र करने के बाद, चुराई गई सभी सामग्री को एक ज़िप फ़ाइल में संपीड़ित करके हमलावर के एफटीपी सर्वर पर भेज दिया जाता है।
विषयसूची
विंडोज की क्षमताओं का गुप्त रूप से सेटअप करना और उसका दुरुपयोग करना
जब एवलिन को चलाया जाता है, तो यह अपने संचालन के लिए आवश्यक विंडोज घटकों को गतिशील रूप से लोड करता है, जिसमें प्रोसेस इंजेक्शन, फ़ाइल और रजिस्ट्री एक्सेस, नेटवर्क संचार और क्लिपबोर्ड मॉनिटरिंग जैसी कार्यक्षमताएं शामिल हैं। ये क्षमताएं मैलवेयर को सिस्टम में गहराई से एकीकृत होने और डेटा चोरी के अपने उद्देश्यों को पूरा करने में मदद करती हैं।
अपनी पहचान गुप्त रखने के लिए, एवलिन को मैन्युअल और स्वचालित दोनों तरह के विश्लेषणों से बचने के लिए डिज़ाइन किया गया है। पूरी तरह सक्रिय होने से पहले, यह अपने परिवेश का मूल्यांकन करके यह निर्धारित करता है कि क्या इसकी जाँच की जा रही है।
अंतर्निर्मित विश्लेषण और सैंडबॉक्स से बचाव
एवलिन वर्चुअल मशीनों, डीबगरों और सुरक्षा या अनुसंधान उपकरणों का पता लगाने के लिए कई विश्लेषण-विरोधी तकनीकों का उपयोग करती है। सिस्टम के वास्तविक उपयोगकर्ता वातावरण होने की पुष्टि करने के बाद ही यह आगे बढ़ती है।
उस चरण में, मैलवेयर उपयोगकर्ता के ऐपडेटा फ़ोल्डर के भीतर अपनी खुद की निर्देशिकाएँ बनाता है, जिनका उपयोग वह एकत्रित जानकारी और सहायक फ़ाइलों को संग्रहीत करने के लिए करता है।
आक्रामक ब्राउज़र लक्ष्यीकरण और प्रक्रिया में हेरफेर
यह मैलवेयर सिस्टम पर पहले से मौजूद ब्राउज़र डेटा को इकट्ठा करके शुरू होता है और फिर चल रहे ब्राउज़रों को जबरदस्ती बंद कर देता है। इससे डेटा संबंधी टकराव को रोका जा सकता है और अगले चरण यानी इंजेक्शन के लिए वातावरण तैयार हो जाता है।
एवलिन को ब्राउज़र लॉगिन डेटा चुराने के लिए एक विशेष सहायक फ़ाइल की आवश्यकता होती है। यह सबसे पहले जाँचता है कि क्या यह फ़ाइल सिस्टम के TEMP डायरेक्टरी में पहले से मौजूद है। यदि नहीं, तो यह फ़ाइल को अपने FTP सर्वर से डाउनलोड करने का प्रयास करता है। अंतिम विकल्प के रूप में, यह उस डायरेक्टरी में खोज करता है जहाँ से मैलवेयर स्वयं चल रहा है।
फ़ाइल प्राप्त होने के बाद, एवलिन अत्यंत नियंत्रित तरीके से लक्षित ब्राउज़र को लॉन्च करती है और उसमें गुप्त रूप से दुर्भावनापूर्ण घटक डाल देती है। इससे चोर ब्राउज़र की अंतर्निहित सुरक्षा प्रणालियों को दरकिनार कर देता है। उपयोगकर्ता या सुरक्षा सॉफ़्टवेयर को सचेत होने से बचाने के लिए, ब्राउज़र को कई गुप्त मापदंडों के साथ शुरू किया जाता है जो विंडो को दबा देते हैं, सुरक्षा सुविधाओं और एक्सटेंशन को निष्क्रिय कर देते हैं, लॉग निर्माण को रोकते हैं और ब्राउज़र के खुलने के किसी भी दृश्य संकेत को छिपा देते हैं। ये उपाय ब्राउज़र डेटा को चुपचाप निकालने में सक्षम बनाते हैं।
डेटा संग्रहण का विस्तार करना
ब्राउज़र के अलावा, एवलिन डेस्कटॉप के स्क्रीनशॉट कैप्चर करता है और सिस्टम की व्यापक जानकारी संकलित करता है, जिसमें वर्तमान उपयोगकर्ता नाम, कंप्यूटर नाम, ऑपरेटिंग सिस्टम संस्करण, स्थापित एप्लिकेशन, चल रही प्रक्रियाएं और वीपीएन कॉन्फ़िगरेशन शामिल हैं। यह मैलवेयर क्रिप्टोकरेंसी वॉलेट को भी सक्रिय रूप से निशाना बनाता है, क्लिपबोर्ड की निगरानी करता है और सहेजे गए वाई-फाई क्रेडेंशियल प्राप्त करता है।
सभी एकत्रित जानकारी को समेकित किया जाता है, एक ज़िप आर्काइव में संपीड़ित किया जाता है, और एफटीपी के माध्यम से हमलावर के सी2 सर्वर पर भेजा जाता है।
संक्रमण वाहक: एक ट्रोजनयुक्त डेवलपर एक्सटेंशन
एवलिन को एक दुर्भावनापूर्ण विज़ुअल स्टूडियो कोड एक्सटेंशन के माध्यम से वितरित किया जाता है जो एक वैध ऐड-ऑन के रूप में प्रस्तुत होता है। इंस्टॉल होने पर, यह एक्सटेंशन एक सामान्य लाइटशॉट डायनेमिक-लिंक लाइब्रेरी (DLL) के रूप में छिपी हुई एक अवैध फ़ाइल डाल देता है। असली लाइटशॉट एप्लिकेशन फिर इस नकली DLL को लोड करता है, जिससे अनजाने में हमलावर का कोड निष्पादित हो जाता है।
एक बार सक्रिय होने पर, दुर्भावनापूर्ण DLL एक अतिरिक्त पेलोड डाउनलोड करने के लिए एक गुप्त पॉवरशेल कमांड लॉन्च करता है। यह द्वितीयक घटक एवलिन सूचना चोरी करने वाले को इंजेक्ट करने और सक्रिय करने के लिए जिम्मेदार है।
सुरक्षा प्रभाव और जोखिम मूल्यांकन
एवलिन अपनी गुप्त कार्यप्रणाली, व्यापक डेटा संग्रह क्षमता और मजबूत बचाव तकनीकों के कारण एक उच्च जोखिम वाला खतरा है। ब्राउज़र डेटा, सिस्टम इंटेलिजेंस और क्रिप्टोकरेंसी संपत्तियों पर इसका ध्यान केंद्रित होना इसे संक्रमणों के लिए विशेष रूप से खतरनाक बनाता है। इस स्टीलर द्वारा सुरक्षा में सेंध लगाने से वित्तीय नुकसान, खातों पर कब्ज़ा और पहचान की चोरी हो सकती है, जो मजबूत एंडपॉइंट सुरक्षा, सावधानीपूर्वक एक्सटेंशन इंस्टॉलेशन प्रक्रियाओं और सिस्टम के असामान्य व्यवहार की निरंतर निगरानी के महत्व को रेखांकित करता है।
