다중 라이센스 할인 견적
위협 데이터베이스 도둑들 이브린 스틸러

이브린 스틸러

도둑들, 지능형 지속 위협(APT)년에 Mezo 년까지
번역 :

에블린은 보안 분석 및 탐지를 적극적으로 회피하면서 민감한 데이터를 은밀하게 수집하도록 설계된 정교한 정보 탈취 악성 프로그램입니다. 주요 기능은 감염된 시스템에서 중요한 정보를 수집하여 FTP를 통해 공격자의 명령 및 제어(C2) 인프라로 유출하는 것입니다.

이 악성 프로그램은 저장된 브라우저 자격 증명, 클립보드 내용, Wi-Fi 비밀번호, 암호화폐 지갑 정보, 상세한 시스템 정보 등 광범위한 데이터를 수집할 수 있습니다. 수집이 완료되면 탈취된 모든 자료는 ZIP 파일로 압축되어 공격자의 FTP 서버로 전송됩니다.

윈도우 기능의 자동 설치 및 악용

이브린은 실행될 때 프로세스 삽입, 파일 및 레지스트리 접근, 네트워크 통신, 클립보드 모니터링 등 작동에 필요한 Windows 구성 요소를 동적으로 로드합니다. 이러한 기능을 통해 악성코드는 시스템에 깊숙이 통합되어 데이터 탈취 목표를 달성할 수 있습니다.

은밀성을 유지하기 위해 에블린은 수동 및 자동 분석 모두를 회피하도록 설계되었습니다. 완전히 활성화되기 전에 주변 환경을 평가하여 조사 대상인지 여부를 판단합니다.

내장 분석 및 샌드박스 회피

Evelyn은 가상 머신, 디버거, 보안 또는 연구 도구를 탐지하기 위해 여러 가지 분석 방지 기술을 사용합니다. 시스템이 실제 사용자 환경으로 확인된 후에만 다음 단계로 진행합니다.

이 단계에서 악성 프로그램은 사용자의 AppData 폴더 내에 자체 디렉터리를 생성하고, 이를 사용하여 수집한 정보와 보조 파일을 저장합니다.

공격적인 브라우저 타겟팅 및 프로세스 조작

이 악성 프로그램은 시스템에 이미 존재하는 브라우저 데이터를 수집하는 것으로 시작하여 실행 중인 브라우저를 강제로 종료합니다. 이는 데이터 충돌을 방지하고 다음 단계인 주입을 위한 환경을 조성하는 역할을 합니다.

Evelyn은 브라우저 로그인 정보를 탈취하기 위해 특정 보조 파일이 필요합니다. 먼저 시스템의 TEMP 디렉터리에 해당 파일이 있는지 확인합니다. 없으면 FTP 서버에서 파일을 다운로드하려고 시도합니다. 최후의 수단으로 악성 프로그램 자체가 실행 중인 디렉터리를 검색합니다.

파일을 확보한 후, 에블린은 매우 정밀하게 제어된 방식으로 대상 브라우저를 실행하고 악성 구성 요소를 은밀하게 삽입합니다. 이를 통해 브라우저에 내장된 보안 기능을 우회할 수 있습니다. 사용자나 보안 소프트웨어에 경고를 보내지 않도록, 브라우저는 여러 숨겨진 매개변수를 사용하여 시작됩니다. 이러한 매개변수는 창을 숨기고, 보안 기능 및 확장 프로그램을 비활성화하며, 로그 생성을 방지하고, 브라우저가 열렸다는 표시를 감춥니다. 이러한 조치를 통해 브라우저 데이터를 조용히 추출할 수 있습니다.

데이터 수집 범위 확장

에블린은 브라우저를 넘어 데스크톱 화면을 캡처하고 현재 사용자 이름, 컴퓨터 이름, 운영 체제 버전, 설치된 애플리케이션, 실행 중인 프로세스, VPN 구성 등 광범위한 시스템 정보를 수집합니다. 또한 이 악성 프로그램은 암호화폐 지갑을 적극적으로 공격하고 클립보드를 모니터링하며 저장된 Wi-Fi 자격 증명을 탈취합니다.

수집된 모든 정보는 통합되어 ZIP 아카이브로 압축된 후 FTP를 통해 공격자의 C2 서버로 유출됩니다.

감염 벡터: 트로이목마화된 개발자 확장 프로그램

Evelyn은 정상적인 추가 기능으로 위장한 악성 Visual Studio Code 확장 프로그램을 통해 배포됩니다. 이 확장 프로그램이 설치되면 일반 Lightshot 동적 링크 라이브러리(DLL)로 위장한 악성 파일이 생성됩니다. 그러면 정품 Lightshot 애플리케이션은 이 가짜 DLL을 로드하여 공격자의 코드를 자신도 모르게 실행하게 됩니다.

활성화되면 악성 DLL은 숨겨진 PowerShell 명령을 실행하여 추가 페이로드를 다운로드합니다. 이 보조 구성 요소는 Evelyn 정보 탈취 악성코드를 주입하고 활성화하는 역할을 합니다.

보안 영향 및 위험 평가

에블린은 은밀한 공격 방식, 광범위한 데이터 수집 범위, 그리고 강력한 회피 기술로 인해 매우 위험한 위협입니다. 브라우저 데이터, 시스템 인텔리전스, 그리고 암호화폐 자산을 노리는 특성 때문에 감염 시 특히 위험합니다. 이 악성코드에 감염되면 금전적 손실, 계정 탈취, 그리고 신원 도용으로 이어질 수 있으므로, 강력한 엔드포인트 보호, 신중한 확장 프로그램 설치, 그리고 비정상적인 시스템 동작에 대한 지속적인 모니터링이 매우 중요합니다.

트렌드

Imorportabless.com

불량 웹사이트, 애드웨어, 브라우저 하이재커
온라인 안전은 그 어느 때보다 중요합니다. 사용자들은 매일 수많은 웹사이트, 광고, 팝업창을 접하는데, 그중 상당수는 정보를 제공하기보다는 사용자를 속이기 위해 만들어졌습니다. 특히 악성 페이지는 호기심, 조급함, 그리고 신뢰를 악용하여 교묘한 수법으로 방문자가 유해한 브라우저 기능을 활성화하도록 유도합니다. 가장 흔하게 사용되는 수법 중 하나는 가짜...

젠체인 리워드 사기

불량 웹사이트
인터넷을 검색할 때 항상 주의를 기울이는 것이 그 어느 때보다 중요해졌습니다. 사이버 범죄자들은 끊임없이 수법을 정교하게 다듬어 신뢰, 호기심, 그리고 금전적 이익을 악용하도록 설계된 매우 설득력 있는 웹사이트와 캠페인을 만들어냅니다. 특히 암호화폐 분야에서는 단 한 번의 부주의한 클릭으로 돌이킬 수 없는 손실을 입을 수 있습니다. 젠체인 리워드...

Search.quicksearchsafe.com

불량 웹사이트, 브라우저 하이재커, 잠재적으로 원하지 않는 프로그램
침입적이고 신뢰할 수 없는 PUP(잠재적으로 원치 않는 프로그램)로부터 기기를 보호하는 것은 보안, 개인 정보 보호 및 시스템 안정성을 유지하는 데 필수적입니다. 이러한 유형의 소프트웨어는 종종 유용한 도구로 위장하지만, 실제 목적은 브라우저 동작을 조작하고, 데이터를 수집하며, 사용자를 신뢰할 수 없는 온라인 콘텐츠에 노출시키는 것입니다. 이러한...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
44,853
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
34,303
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'macOS는 이 앱에 맬웨어가 없는지 확인할 수 없습니다' 수정 방법

문제
32,523
Mac 사용자는 일반적으로 알 수 없는 개발자의 응용 프로그램이나 공식 App Store에서 사용할 수 없고 타사 앱에서 제공하는 응용 프로그램을 설치하려고 할 때 'macOS에서 이 앱에 맬웨어가 없는지 확인할 수 없습니다'라는 메시지가 표시됩니다.라이선스 플랫폼. 이러한 경우 Gatekeep이라는 내장 Mac 보안 시스템은 특정...
로드 중...