Evelyn Stealer
Evelyn ialah perisian hasad pencuri maklumat canggih yang dibina untuk mengumpul data sensitif secara senyap sambil secara aktif mengelakkan analisis dan pengesanan keselamatan. Fungsi utamanya adalah untuk menuai maklumat berharga daripada sistem yang dijangkiti dan mengalirkannya ke infrastruktur arahan dan kawalan (C2) pelaku ancaman melalui FTP.
Pencuri mampu mengumpul pelbagai jenis data, termasuk kelayakan pelayar yang disimpan, kandungan papan klip, kata laluan Wi-Fi, maklumat dompet mata wang kripto dan risikan sistem terperinci. Setelah pengagregatan selesai, semua bahan yang dicuri dimampatkan ke dalam arkib ZIP dan dihantar ke pelayan FTP penyerang.
Isi kandungan
Persediaan Senyap dan Penyalahgunaan Keupayaan Windows
Apabila dilaksanakan, Evelyn memuatkan komponen Windows yang diperlukan untuk dikendalikan secara dinamik, termasuk fungsi untuk suntikan proses, akses fail dan pendaftaran, komunikasi rangkaian dan pemantauan papan klip. Keupayaan ini membolehkan perisian hasad berintegrasi secara mendalam ke dalam sistem dan menyokong objektif kecurian datanya.
Untuk kekal rahsia, Evelyn direka bentuk untuk mengelakkan analisis manual dan automatik. Sebelum diaktifkan sepenuhnya, ia menilai persekitarannya untuk menentukan sama ada ia sedang diperiksa.
Analisis Terbina Dalam dan Pengelakan Kotak Pasir
Evelyn menggunakan pelbagai teknik anti-analisis untuk mengesan mesin maya, penyahpepijat dan alat keselamatan atau penyelidikan. Hanya selepas mengesahkan bahawa sistem itu kelihatan seperti persekitaran pengguna yang tulen, barulah ia diteruskan.
Pada peringkat itu, perisian hasad tersebut mencipta direktorinya sendiri dalam folder AppData pengguna, yang digunakannya untuk menyimpan maklumat yang dituai dan fail sokongan.
Penyasaran Pelayar Agresif dan Manipulasi Proses
Perisian hasad ini bermula dengan mengumpul sebarang data pelayar yang sedia ada pada sistem dan kemudian menutup pelayar yang sedang berjalan secara paksa. Ini menghalang konflik data dan menyediakan persekitaran untuk fasa seterusnya: suntikan.
Evelyn memerlukan fail tambahan tertentu untuk mencuri data log masuk pelayar. Ia akan menyemak terlebih dahulu sama ada fail ini sudah wujud dalam direktori TEMP sistem. Jika tidak, ia akan cuba memuat turun fail tersebut daripada pelayan FTPnya. Sebagai langkah berjaga-jaga terakhir, ia akan mencari direktori tempat perisian hasad itu sendiri dijalankan.
Sebaik sahaja fail diperoleh, Evelyn melancarkan pelayar yang disasarkan dengan cara yang sangat terkawal dan secara rahsia menyuntik komponen berniat jahat ke dalamnya. Ini membolehkan pencuri memintas perlindungan pelayar terbina dalam. Untuk mengelakkan amaran kepada pengguna atau perisian keselamatan, pelayar dimulakan dengan pelbagai parameter tersembunyi yang menyekat tetingkap, melumpuhkan ciri dan sambungan keselamatan, menghalang penciptaan log dan menyembunyikan sebarang tanda yang kelihatan bahawa pelayar telah dibuka. Langkah-langkah ini membolehkan pengekstrakan data pelayar secara senyap.
Memperluas Pengumpulan Data
Selain pelayar web, Evelyn merakam tangkapan skrin desktop dan menyusun butiran sistem yang luas, termasuk nama pengguna semasa, nama komputer, versi sistem pengendalian, aplikasi yang dipasang, proses yang berjalan dan konfigurasi VPN. Perisian hasad ini juga secara aktif menyasarkan dompet mata wang kripto, memantau papan klip dan mendapatkan semula kelayakan Wi-Fi yang disimpan.
Semua maklumat yang dikumpul disatukan, dimampatkan ke dalam arkib ZIP dan diasingkan ke pelayan C2 penyerang melalui FTP.
Vektor Jangkitan: Sambungan Pembangun yang Ditrojankan
Evelyn diedarkan melalui sambungan Visual Studio Code yang berniat jahat yang menyamar sebagai alat tambah yang sah. Apabila dipasang, sambungan ini akan menjatuhkan fail penyangak yang menyamar sebagai pustaka pautan dinamik (DLL) Lightshot biasa. Aplikasi Lightshot yang tulen kemudiannya memuatkan DLL palsu ini, tanpa disedari melaksanakan kod penyerang.
Sebaik sahaja aktif, DLL berniat jahat melancarkan arahan PowerShell tersembunyi untuk memuat turun muatan tambahan. Komponen sekunder ini bertanggungjawab untuk menyuntik dan mengaktifkan pencuri maklumat Evelyn.
Penilaian Impak dan Risiko Keselamatan
Evelyn mewakili ancaman berisiko tinggi disebabkan oleh skop pengumpulan data yang luas dan tersembunyi, serta teknik pengelakan yang kuat. Tumpuannya pada data pelayar, risikan sistem dan aset mata wang kripto menjadikan jangkitan sangat berbahaya. Kompromi oleh pencuri ini boleh mengakibatkan kerugian kewangan, pengambilalihan akaun dan kecurian identiti, menekankan kepentingan perlindungan titik akhir yang kukuh, amalan pemasangan sambungan yang berhati-hati dan pemantauan berterusan untuk tingkah laku sistem yang anomali.
