Evelyn Stealer
„Evelyn“ yra sudėtinga informaciją vagianti kenkėjiška programa, sukurta tyliai rinkti jautrius duomenis, aktyviai vengiant saugumo analizės ir aptikimo. Jos pagrindinė funkcija – surinkti vertingą informaciją iš užkrėstų sistemų ir per FTP ją išfiltruoti į grėsmės aktoriaus valdymo ir kontrolės (C2) infrastruktūrą.
Vagilė gali rinkti įvairius duomenis, įskaitant išsaugotus naršyklės prisijungimo duomenis, iškarpinės turinį, „Wi-Fi“ slaptažodžius, kriptovaliutos piniginės informaciją ir išsamią sistemos informaciją. Baigus rinkti duomenis, visa pavogta medžiaga suspaudžiama į ZIP archyvą ir perduodama užpuoliko FTP serverį.
Turinys
Tyli sąranka ir piktnaudžiavimas „Windows“ galimybėmis
Paleidus „Evelyn“, dinamiškai įkeliami „Windows“ komponentai, kurių reikia jos veikimui, įskaitant procesų injekcijos, failų ir registro prieigos, tinklo ryšio ir iškarpinės stebėjimo funkcijas. Šios galimybės leidžia kenkėjiškai programai giliai integruotis į sistemą ir palaikyti jos duomenų vagystės tikslus.
Kad išliktų slapta, Evelyn sukurta taip, kad išvengtų tiek rankinės, tiek automatinės analizės. Prieš visiškai aktyvuodama, ji įvertina aplinką, kad nustatytų, ar yra tiriama.
Integruota analizė ir „smėlio dėžės“ apėjimas
Evelyn naudoja įvairius antianalizės metodus virtualioms mašinoms aptikti, derinimo programas ir saugumo ar tyrimo įrankius. Tik patvirtinus, kad sistema atrodo esanti tikra vartotojo aplinka, ji tęsia darbą.
Tame etape kenkėjiška programa sukuria savo katalogus vartotojo „AppData“ aplanke, kuriame saugo surinktą informaciją ir pagalbinius failus.
Agresyvus naršyklės taikymas ir procesų manipuliavimas
Kenkėjiška programa pradeda rinkdama sistemoje jau esančius naršyklės duomenis ir tada priverstinai uždaro veikiančias naršykles. Tai užkerta kelią duomenų konfliktams ir paruošia aplinką kitam etapui: injekcijai.
„Evelyn“ reikia specialaus pagalbinio failo, kad pavogtų naršyklės prisijungimo duomenis. Pirmiausia ji patikrina, ar šis failas jau yra sistemos TEMP kataloge. Jei ne, ji bando atsisiųsti failą iš savo FTP serverio. Kaip galutinę atsarginę priemonę, ji ieško kataloge, kuriame veikia pati kenkėjiška programa.
Gavusi failą, Evelyn kontroliuojamu būdu paleidžia tikslinę naršyklę ir slapta į ją įterpia kenkėjišką komponentą. Tai leidžia vagims apeiti integruotas naršyklės apsaugos priemones. Kad nebūtų įspėtas vartotojas ar saugos programinė įranga, naršyklė paleidžiama su daugybe paslėptų parametrų, kurie blokuoja langus, išjungia saugos funkcijas ir plėtinius, neleidžia kurti žurnalų ir paslepia bet kokius matomus naršyklės atidarymo požymius. Šios priemonės leidžia tyliai išgauti naršyklės duomenis.
Duomenų rinkimo išplėtimas
Be naršyklių, Evelyn fiksuoja darbalaukio ekrano kopijas ir renka išsamią sistemos informaciją, įskaitant dabartinį vartotojo vardą, kompiuterio pavadinimą, operacinės sistemos versiją, įdiegtas programas, veikiančius procesus ir VPN konfigūracijas. Kenkėjiška programa taip pat aktyviai taikosi į kriptovaliutų pinigines, stebi iškarpinę ir nuskaito išsaugotus „Wi-Fi“ prisijungimo duomenis.
Visa surinkta informacija yra konsoliduojama, suspausta į ZIP archyvą ir per FTP išfiltruojama į užpuoliko C2 serverį.
Infekcijos vektorius: Trojos arklys
„Evelyn“ platinama per kenkėjišką „Visual Studio Code“ plėtinį, apsimetantį teisėtu priedu. Įdiegus šį plėtinį, jis atsiunčia netikrą failą, užmaskuotą kaip įprasta „Lightshot“ dinaminių nuorodų biblioteka (DLL). Tikroji „Lightshot“ programa tada įkelia šį netikrą DLL, nesąmoningai vykdydama užpuoliko kodą.
Kai kenkėjiška DLL programa tampa aktyvi, ji paleidžia paslėptą „PowerShell“ komandą, kad atsisiųstų papildomą naudingąją apkrovą. Šis antrinis komponentas yra atsakingas už „Evelyn“ informacijos vagystės įterpimą ir aktyvavimą.
Saugumo poveikio ir rizikos vertinimas
„Evelyn“ kelia didelės rizikos grėsmę dėl savo slaptumo, plataus duomenų rinkimo masto ir stiprių apėjimo metodų. Dėmesys naršyklės duomenims, sistemos žvalgybai ir kriptovaliutų turtui daro infekcijas ypač pavojingas. Šio vagystės atveju gali būti patirta finansinių nuostolių, perimtos paskyros ir vagystės, todėl svarbu užtikrinti stiprią galinių įrenginių apsaugą, atsargų plėtinių diegimą ir nuolatinį anomalinio sistemos elgesio stebėjimą.
