Evelyn Stealer
Evelyn è un sofisticato malware che ruba informazioni, progettato per raccogliere silenziosamente dati sensibili, eludendo attivamente l'analisi e il rilevamento della sicurezza. La sua funzione principale è quella di raccogliere informazioni preziose dai sistemi infetti e di trasferirle all'infrastruttura di comando e controllo (C2) di un aggressore tramite FTP.
Il ladro è in grado di raccogliere un'ampia gamma di dati, tra cui credenziali del browser salvate, contenuti degli appunti, password Wi-Fi, informazioni sul portafoglio di criptovalute e informazioni di sistema dettagliate. Una volta completata l'aggregazione, tutto il materiale rubato viene compresso in un archivio ZIP e trasmesso al server FTP dell'aggressore.
Sommario
Installazione silenziosa e abuso delle funzionalità di Windows
Una volta eseguito, Evelyn carica dinamicamente i componenti Windows necessari al suo funzionamento, tra cui funzionalità per l'iniezione di processi, l'accesso a file e registro, la comunicazione di rete e il monitoraggio degli appunti. Queste funzionalità consentono al malware di integrarsi profondamente nel sistema e supportare i suoi obiettivi di furto di dati.
Per rimanere occultato, Evelyn è progettato per eludere sia l'analisi manuale che quella automatizzata. Prima di attivarsi completamente, valuta l'ambiente circostante per determinare se è sotto esame.
Analisi integrata ed evasione sandbox
Evelyn impiega diverse tecniche di anti-analisi per rilevare macchine virtuali, debugger e strumenti di sicurezza o di ricerca. Solo dopo aver verificato che il sistema sia un ambiente utente autentico, procede.
A questo punto, il malware crea le proprie directory all'interno della cartella AppData dell'utente, che utilizza per archiviare le informazioni raccolte e i file di supporto.
Browser targeting aggressivo e manipolazione dei processi
Il malware inizia raccogliendo tutti i dati del browser già presenti sul sistema e poi chiude forzatamente i browser in esecuzione. Questo impedisce conflitti di dati e prepara l'ambiente per la fase successiva: l'iniezione.
Evelyn necessita di uno specifico file ausiliario per rubare i dati di accesso al browser. Innanzitutto, verifica se questo file esiste già nella directory TEMP del sistema. In caso contrario, tenta di scaricarlo dal suo server FTP. Come ultima risorsa, cerca nella directory da cui è in esecuzione il malware stesso.
Una volta ottenuto il file, Evelyn avvia il browser preso di mira in modo altamente controllato e vi inietta segretamente il componente dannoso. Ciò consente allo stealer di aggirare le protezioni integrate del browser. Per evitare di allertare l'utente o il software di sicurezza, il browser viene avviato con numerosi parametri nascosti che sopprimono le finestre, disabilitano le funzionalità di sicurezza e le estensioni, impediscono la creazione di log e nascondono qualsiasi segno visibile che il browser sia stato aperto. Queste misure consentono l'estrazione silenziosa dei dati del browser.
Espansione della raccolta dati
Oltre ai browser, Evelyn cattura screenshot del desktop e raccoglie informazioni dettagliate sul sistema, tra cui il nome utente corrente, il nome del computer, la versione del sistema operativo, le applicazioni installate, i processi in esecuzione e le configurazioni VPN. Il malware prende di mira anche i wallet di criptovalute, monitora gli appunti e recupera le credenziali Wi-Fi salvate.
Tutte le informazioni raccolte vengono consolidate, compresse in un archivio ZIP ed esfiltrate tramite FTP sul server C2 dell'aggressore.
Vettore di infezione: un'estensione per sviluppatori trojanizzata
Evelyn viene distribuito tramite un'estensione dannosa di Visual Studio Code che si spaccia per un componente aggiuntivo legittimo. Una volta installata, questa estensione rilascia un file non autorizzato camuffato da normale libreria a collegamento dinamico (DLL) di Lightshot. L'applicazione Lightshot originale carica quindi questa DLL fasulla, eseguendo inconsapevolmente il codice dell'aggressore.
Una volta attiva, la DLL dannosa avvia un comando PowerShell nascosto per scaricare un payload aggiuntivo. Questo componente secondario è responsabile dell'iniezione e dell'attivazione del ladro di informazioni Evelyn.
Valutazione dell'impatto e del rischio sulla sicurezza
Evelyn rappresenta una minaccia ad alto rischio a causa della sua furtività, dell'ampio raggio di raccolta dati e delle potenti tecniche di evasione. La sua attenzione ai dati del browser, all'intelligence di sistema e alle risorse di criptovaluta rende le infezioni particolarmente pericolose. La compromissione da parte di questo stealer può comportare perdite finanziarie, furti di account e furto di identità, sottolineando l'importanza di una solida protezione degli endpoint, di caute pratiche di installazione delle estensioni e di un monitoraggio continuo per rilevare comportamenti anomali del sistema.
