Evelyn Stealer
Evelyn je sofisticirani zlonamjerni softver za krađu informacija, izgrađen za tiho prikupljanje osjetljivih podataka uz aktivno izbjegavanje sigurnosne analize i otkrivanja. Njegova primarna funkcija je prikupljanje vrijednih informacija iz zaraženih sustava i njihovo prenošenje u zapovjedno-kontrolnu (C2) infrastrukturu napadača putem FTP-a.
Kradljivac može prikupljati širok raspon podataka, uključujući spremljene podatke preglednika, sadržaj međuspremnika, lozinke za Wi-Fi, podatke o kriptovalutnim novčanicima i detaljne informacije o sustavu. Nakon što je agregacija dovršena, sav ukradeni materijal komprimira se u ZIP arhivu i prenosi na FTP poslužitelj napadača.
Sadržaj
Tiho postavljanje i zlouporaba mogućnosti sustava Windows
Prilikom izvršavanja, Evelyn dinamički učitava Windows komponente potrebne za rad, uključujući funkcionalnost za ubrizgavanje procesa, pristup datotekama i registru, mrežnu komunikaciju i nadzor međuspremnika. Ove mogućnosti omogućuju zlonamjernom softveru duboku integraciju u sustav i podršku njegovim ciljevima krađe podataka.
Kako bi ostala tajna, Evelyn je projektirana tako da izbjegne i ručnu i automatsku analizu. Prije potpune aktivacije, procjenjuje svoje okruženje kako bi utvrdila ispituje li se.
Ugrađena analiza i izbjegavanje sandboxa
Evelyn koristi više tehnika protiv analize kako bi otkrila virtualne strojeve, programe za ispravljanje pogrešaka te sigurnosne ili istraživačke alate. Tek nakon što potvrdi da se sustav čini kao autentično korisničko okruženje, nastavlja s radom.
U toj fazi, zlonamjerni softver stvara vlastite direktorije unutar korisnikove mape AppData, koje koristi za pohranjivanje prikupljenih informacija i pratećih datoteka.
Agresivno ciljanje preglednika i manipulacija procesima
Zlonamjerni softver započinje prikupljanjem svih podataka preglednika koji su već prisutni u sustavu, a zatim prisilno zatvara pokrenute preglednike. To sprječava sukobe podataka i priprema okruženje za sljedeću fazu: ubrizgavanje.
Evelyn zahtijeva određenu pomoćnu datoteku za krađu podataka za prijavu preglednika. Prvo provjerava postoji li ta datoteka već u TEMP direktoriju sustava. Ako ne, pokušava preuzeti datoteku sa svog FTP poslužitelja. Kao posljednju rezervnu opciju, pretražuje direktorij iz kojeg se sam zlonamjerni softver pokreće.
Nakon što je datoteka dohvaćena, Evelyn pokreće ciljani preglednik na vrlo kontroliran način i prikriveno u njega ubrizgava zlonamjernu komponentu. To omogućuje kradljivcu da zaobiđe ugrađenu zaštitu preglednika. Kako bi se izbjeglo upozorenje korisnika ili sigurnosnog softvera, preglednik se pokreće s brojnim skrivenim parametrima koji potiskuju prozore, onemogućuju sigurnosne značajke i proširenja, sprječavaju stvaranje zapisnika i skrivaju sve vidljive znakove da je preglednik otvoren. Ove mjere omogućuju tiho izdvajanje podataka preglednika.
Proširenje prikupljanja podataka
Osim preglednika, Evelyn snima snimke zaslona radne površine i prikuplja opsežne detalje o sustavu, uključujući trenutno korisničko ime, naziv računala, verziju operativnog sustava, instalirane aplikacije, pokrenute procese i VPN konfiguracije. Zlonamjerni softver također aktivno cilja kriptovalutne novčanike, prati međuspremnik i dohvaća spremljene Wi-Fi vjerodajnice.
Sve prikupljene informacije se konsolidiraju, komprimiraju u ZIP arhivu i putem FTP-a prenose na napadačev C2 server.
Vektor zaraze: Trojanizirano proširenje za razvojne programere
Evelyn se distribuira putem zlonamjernog Visual Studio Code proširenja koje se predstavlja kao legitimni dodatak. Kada se instalira, ovo proširenje ispušta lažnu datoteku prerušenu u normalnu Lightshot dinamičku biblioteku (DLL). Prava Lightshot aplikacija zatim učitava ovaj lažni DLL, nesvjesno izvršavajući napadačev kod.
Nakon što je aktivan, zlonamjerni DLL pokreće skrivenu PowerShell naredbu za preuzimanje dodatnog sadržaja. Ova sekundarna komponenta odgovorna je za ubrizgavanje i aktiviranje kradljivca informacija Evelyn.
Procjena utjecaja na sigurnost i rizika
Evelyn predstavlja visokorizičnu prijetnju zbog svoje prikrivenosti, širokog opsega prikupljanja podataka i snažnih tehnika izbjegavanja. Njegov fokus na podatke preglednika, inteligenciju sustava i kriptovalute čini infekcije posebno opasnima. Kompromitacija od strane ovog kradljivca može rezultirati financijskim gubicima, preuzimanjem računa i krađom identiteta, što naglašava važnost snažne zaštite krajnjih točaka, opreznih praksi instalacije proširenja i kontinuiranog praćenja anomalnog ponašanja sustava.
