Evelyn Stealer
Evelyn er en sofistikert informasjonsstjelende skadevare som er bygget for å samle sensitive data i stillhet, samtidig som den aktivt unngår sikkerhetsanalyse og -deteksjon. Hovedfunksjonen er å høste verdifull informasjon fra infiserte systemer og overføre den til en trusselaktørs kommando- og kontrollinfrastruktur (C2) via FTP.
Tyveren er i stand til å samle inn et bredt spekter av data, inkludert lagrede nettleserlegitimasjon, innhold på utklippstavlen, Wi-Fi-passord, informasjon om kryptovalutalommebøker og detaljert systeminformasjon. Når aggregeringen er fullført, komprimeres alt stjålet materiale til et ZIP-arkiv og overføres til angriperens FTP-server.
Innholdsfortegnelse
Stille oppsett og misbruk av Windows-funksjoner
Når den kjøres, laster Evelyn dynamisk inn Windows-komponentene den trenger for å fungere, inkludert funksjonalitet for prosessinjeksjon, fil- og registertilgang, nettverkskommunikasjon og overvåking av utklippstavlen. Disse funksjonene lar skadevaren integreres dypt i systemet og støtte dens mål mot datatyveri.
For å forbli skjult er Evelyn konstruert for å unngå både manuell og automatisert analyse. Før den aktiveres fullt ut, evaluerer den omgivelsene sine for å avgjøre om den blir undersøkt.
Innebygd analyse og sandkasseunngåelse
Evelyn bruker flere antianalyseteknikker for å oppdage virtuelle maskiner, feilsøkingsprogrammer og sikkerhets- eller forskningsverktøy. Først etter at det er bekreftet at systemet ser ut til å være et ekte brukermiljø, fortsetter det.
På det stadiet oppretter skadevaren sine egne mapper i brukerens AppData-mappe, som den bruker til å lagre innsamlet informasjon og støttefiler.
Aggressiv nettlesermålretting og prosessmanipulering
Skadevaren starter med å samle inn nettleserdata som allerede finnes på systemet, og deretter tvangslukke nettlesere som kjører. Dette forhindrer både datakonflikter og forbereder miljøet for neste fase: injeksjon.
Evelyn trenger en spesifikk hjelpefil for å stjele nettleserinnloggingsdata. Den sjekker først om denne filen allerede finnes i systemets TEMP-katalog. Hvis ikke, prøver den å laste ned filen fra FTP-serveren. Som et siste alternativ søker den i katalogen som selve skadevaren kjører fra.
Når filen er hentet, starter Evelyn den målrettede nettleseren på en svært kontrollert måte og injiserer i hemmelighet den skadelige komponenten inn i den. Dette lar tyveren omgå innebygde nettleserbeskyttelser. For å unngå å varsle brukeren eller sikkerhetsprogramvaren, startes nettleseren med en rekke skjulte parametere som undertrykker vinduer, deaktiverer sikkerhetsfunksjoner og utvidelser, forhindrer loggoppretting og skjuler synlige tegn på at nettleseren ble åpnet. Disse tiltakene muliggjør stille utvinning av nettleserdata.
Utvidelse av datainnsamlingen
Utover nettlesere tar Evelyn skjermbilder av skrivebordet og samler omfattende systemdetaljer, inkludert gjeldende brukernavn, datamaskinnavn, operativsystemversjon, installerte applikasjoner, kjørende prosesser og VPN-konfigurasjoner. Skadevaren retter seg også aktivt mot kryptovaluta-lommebøker, overvåker utklippstavlen og henter lagrede Wi-Fi-legitimasjon.
All innsamlet informasjon konsolideres, komprimeres til et ZIP-arkiv og eksporteres til angriperens C2-server via FTP.
Infeksjonsvektor: En trojanisert utviklerutvidelse
Evelyn distribueres gjennom en ondsinnet Visual Studio Code-utvidelse som utgir seg for å være et legitimt tillegg. Når den installeres, sletter denne utvidelsen en falsk fil forkledd som et vanlig Lightshot dynamisk lenkebibliotek (DLL). Det ekte Lightshot-programmet laster deretter inn denne falske DLL-en og kjører uvitende angriperens kode.
Når den er aktiv, starter den skadelige DLL-filen en skjult PowerShell-kommando for å laste ned en ekstra nyttelast. Denne sekundære komponenten er ansvarlig for å injisere og aktivere Evelyn-informasjonstyveren.
Vurdering av sikkerhetspåvirkning og risiko
Evelyn representerer en høyrisikotrussel på grunn av sin snikende tilgang, brede datainnsamlingsmuligheter og sterke unnvikelsesteknikker. Fokuset på nettleserdata, systemintelligens og kryptovaluta-ressurser gjør infeksjoner spesielt farlige. Kompromittering av denne tyven kan føre til økonomiske tap, kontoovertakelser og identitetstyveri, noe som understreker viktigheten av sterk endepunktbeskyttelse, forsiktige installasjonspraksiser for utvidelser og kontinuerlig overvåking av unormal systematferd.
