Evelyn Stealer
Az Evelyn egy kifinomult, információkat ellopó kártevő, amely csendesen gyűjt érzékeny adatokat, miközben aktívan elkerüli a biztonsági elemzést és felderítést. Elsődleges funkciója értékes információk gyűjtése a fertőzött rendszerekből, és FTP-n keresztül történő kiszivárogtatása a fenyegető szereplő parancs- és vezérlő (C2) infrastruktúrájába.
A tolvaj széleskörű adatok gyűjtésére képes, beleértve a mentett böngésző hitelesítő adatokat, a vágólap tartalmát, a Wi-Fi jelszavakat, a kriptovaluta-tárca információkat és a részletes rendszerinformációkat. Az összesítés befejezése után az összes ellopott anyagot egy ZIP archívumba tömörítik, és továbbítják a támadó FTP-szerverére.
Tartalomjegyzék
Csendes telepítés és a Windows képességeinek visszaélése
Futtatáskor az Evelyn dinamikusan betölti a működéséhez szükséges Windows-összetevőket, beleértve a folyamatbefecskendezés, a fájl- és beállításjegyzék-hozzáférés, a hálózati kommunikáció és a vágólap-figyelés funkcióit. Ezek a képességek lehetővé teszik a rosszindulatú program számára, hogy mélyen integrálódjon a rendszerbe, és támogassa adatlopási céljait.
A rejtőzködés megőrzése érdekében Evelyn úgy van megtervezve, hogy mind a manuális, mind az automatizált elemzést elkerülje. Mielőtt teljesen aktiválódna, felméri a környezetét, hogy megállapítsa, vajon vizsgálat alatt áll-e.
Beépített elemzés és sandbox-megkerülő megoldások
Evelyn számos anti-analízis technikát alkalmaz a virtuális gépek, hibakeresők és biztonsági vagy kutatóeszközök észlelésére. Csak azután folytatja a keresést, miután megerősítette, hogy a rendszer valódi felhasználói környezetnek tűnik.
Ebben a szakaszban a rosszindulatú program létrehozza a saját könyvtárait a felhasználó AppData mappájában, amelyet a begyűjtött információk és a támogató fájlok tárolására használ.
Agresszív böngészőcélzás és folyamatmanipuláció
A kártevő azzal kezdi, hogy begyűjti a rendszeren már jelen lévő böngészőadatokat, majd erőszakkal bezárja a futó böngészőket. Ez egyrészt megakadályozza az adatütközéseket, másrészt felkészíti a környezetet a következő fázisra: az injektálásra.
Evelynnek egy speciális segédfájlra van szüksége a böngésző bejelentkezési adatainak ellopásához. Először ellenőrzi, hogy a fájl létezik-e már a rendszer TEMP könyvtárában. Ha nem, akkor megpróbálja letölteni a fájlt az FTP-kiszolgálóról. Végső tartalék megoldásként átkutatja azt a könyvtárat, amelyből maga a kártevő fut.
Miután Evelyn megszerzi a fájlt, szigorúan ellenőrzött módon elindítja a célzott böngészőt, és titokban beilleszti a rosszindulatú komponenst. Ez lehetővé teszi a tolvaj számára, hogy megkerülje a böngésző beépített védelmeit. A felhasználó vagy a biztonsági szoftverek figyelmeztetésének elkerülése érdekében a böngésző számos rejtett paraméterrel indul, amelyek letiltják az ablakokat, letiltják a biztonsági funkciókat és bővítményeket, megakadályozzák a naplók létrehozását, és elrejtik a böngésző megnyitásának látható jeleit. Ezek az intézkedések lehetővé teszik a böngészőadatok csendes kinyerését.
Az adatgyűjtés bővítése
A böngészőkön túl Evelyn képernyőképeket készít az asztalról, és kiterjedt rendszeradatokat gyűjt belőlük, beleértve az aktuális felhasználónevet, a számítógép nevét, az operációs rendszer verzióját, a telepített alkalmazásokat, a futó folyamatokat és a VPN-konfigurációkat. A rosszindulatú program aktívan célozza a kriptovaluta-tárcákat, figyeli a vágólapot, és lekéri a mentett Wi-Fi-hitelesítő adatokat.
Az összes összegyűjtött információt összevonják, ZIP archívumba tömörítik, majd FTP-n keresztül a támadó C2-szerverére szivárogtatják.
Fertőzésvektor: Egy trójai alapú fejlesztői bővítmény
Az Evelyn egy rosszindulatú Visual Studio Code bővítményen keresztül terjed, amely legitim kiegészítőnek adja ki magát. Telepítéskor ez a bővítmény egy hamis fájlt helyez el, amely egy normál Lightshot dinamikus csatolású függvénytárnak (DLL) álcázva van. Az eredeti Lightshot alkalmazás ezután betölti ezt a hamis DLL-t, tudtán kívül végrehajtva a támadó kódját.
Aktiválás után a rosszindulatú DLL egy rejtett PowerShell-parancsot futtat egy további hasznos fájl letöltéséhez. Ez a másodlagos komponens felelős az Evelyn információlopó befecskendezéséért és aktiválásáért.
Biztonsági hatás- és kockázatértékelés
Az Evelyn magas kockázatú fenyegetést jelent lopakodó képessége, széleskörű adatgyűjtési hatóköre és erős kijátszási technikái miatt. A böngészőadatokra, a rendszer intelligenciájára és a kriptovaluta eszközökre való összpontosítása különösen veszélyessé teszi a fertőzéseket. Ennek a tolvajnak a feltörése pénzügyi veszteségekhez, fiókátvételekhez és személyazonosság-lopáshoz vezethet, ami hangsúlyozza az erős végpontvédelem, az óvatos bővítménytelepítési gyakorlatok és a rendellenes rendszerviselkedés folyamatos monitorozásának fontosságát.
