Evelyn स्टिलर
एभलिन एक परिष्कृत जानकारी चोरी गर्ने मालवेयर हो जुन सुरक्षा विश्लेषण र पत्ता लगाउने कार्यलाई सक्रिय रूपमा बेवास्ता गर्दै संवेदनशील डेटा चुपचाप सङ्कलन गर्न बनाइएको हो। यसको प्राथमिक कार्य संक्रमित प्रणालीहरूबाट बहुमूल्य जानकारी सङ्कलन गर्नु र FTP मार्फत खतरा अभिनेताको कमाण्ड-एन्ड-कन्ट्रोल (C2) पूर्वाधारमा एक्सफिल्टर गर्नु हो।
चोरी गर्ने व्यक्तिले सुरक्षित गरिएका ब्राउजर प्रमाणहरू, क्लिपबोर्ड सामग्रीहरू, वाइफाइ पासवर्डहरू, क्रिप्टोकरेन्सी वालेट जानकारी, र विस्तृत प्रणाली बुद्धिमत्ता सहित विस्तृत दायराका डेटा सङ्कलन गर्न सक्षम छ। एकपटक एकत्रीकरण पूरा भएपछि, सबै चोरी गरिएका सामग्रीहरू ZIP अभिलेखमा संकुचित हुन्छन् र आक्रमणकारीको FTP सर्भरमा पठाइन्छ।
सामग्रीको तालिका
मौन सेटअप र विन्डोज क्षमताहरूको दुरुपयोग
कार्यान्वयन गर्दा, एभलिनले प्रक्रिया इन्जेक्सन, फाइल र रजिस्ट्री पहुँच, नेटवर्क सञ्चार, र क्लिपबोर्ड अनुगमनको लागि कार्यक्षमता सहित सञ्चालन गर्न आवश्यक पर्ने विन्डोज कम्पोनेन्टहरूलाई गतिशील रूपमा लोड गर्छ। यी क्षमताहरूले मालवेयरलाई प्रणालीमा गहिरो रूपमा एकीकृत गर्न र यसको डेटा-चोरी उद्देश्यहरूलाई समर्थन गर्न अनुमति दिन्छ।
गोप्य रहनको लागि, एभलिनलाई म्यानुअल र स्वचालित विश्लेषणबाट बच्नको लागि डिजाइन गरिएको छ। पूर्ण रूपमा सक्रिय हुनु अघि, यसले यसको जाँच भइरहेको छ कि छैन भनेर निर्धारण गर्न यसको वातावरणको मूल्याङ्कन गर्दछ।
निर्मित विश्लेषण र स्यान्डबक्स चोरी
एभलिनले भर्चुअल मेसिन, डिबगर, र सुरक्षा वा अनुसन्धान उपकरणहरू पत्ता लगाउन धेरै एन्टी-एनालिसिस प्रविधिहरू प्रयोग गर्छिन्। प्रणाली वास्तविक प्रयोगकर्ता वातावरण जस्तो देखिन्छ भनेर पुष्टि गरेपछि मात्र यो अगाडि बढ्छ।
त्यस चरणमा, मालवेयरले प्रयोगकर्ताको एपडेटा फोल्डर भित्र आफ्नै निर्देशिकाहरू सिर्जना गर्दछ, जुन यसले संकलन गरिएको जानकारी र समर्थन फाइलहरू भण्डारण गर्न प्रयोग गर्दछ।
आक्रामक ब्राउजर लक्ष्यीकरण र प्रक्रिया हेरफेर
मालवेयरले प्रणालीमा पहिले नै अवस्थित कुनै पनि ब्राउजर डेटा सङ्कलन गरेर सुरु गर्छ र त्यसपछि चलिरहेको ब्राउजरहरूलाई जबरजस्ती बन्द गर्छ। यसले डेटा द्वन्द्वलाई रोक्छ र अर्को चरणको लागि वातावरण तयार गर्छ: इन्जेक्सन।
ब्राउजर लगइन डेटा चोर्न एभलिनलाई एउटा विशेष सहायक फाइल चाहिन्छ। यसले पहिले यो फाइल प्रणालीको TEMP डाइरेक्टरीमा पहिले नै अवस्थित छ कि छैन भनेर जाँच गर्छ। यदि छैन भने, यसले यसको FTP सर्भरबाट फाइल डाउनलोड गर्ने प्रयास गर्छ। अन्तिम फलब्याकको रूपमा, यसले मालवेयर आफैं चलिरहेको डाइरेक्टरी खोज्छ।
फाइल प्राप्त भएपछि, एभलिनले लक्षित ब्राउजरलाई अत्यधिक नियन्त्रित तरिकाले सुरु गर्छिन् र गोप्य रूपमा त्यसमा दुर्भावनापूर्ण कम्पोनेन्ट इन्जेक्ट गर्छिन्। यसले चोरलाई निर्मित ब्राउजर सुरक्षाहरू बाइपास गर्न अनुमति दिन्छ। प्रयोगकर्ता वा सुरक्षा सफ्टवेयरलाई सचेत गराउनबाट बच्नको लागि, ब्राउजरलाई विन्डोजलाई दबाउने, सुरक्षा सुविधाहरू र विस्तारहरू असक्षम पार्ने, लग सिर्जना रोक्ने र ब्राउजर खोलिएको कुनै पनि देखिने संकेतहरू लुकाउने असंख्य लुकेका प्यारामिटरहरूसँग सुरु गरिन्छ। यी उपायहरूले ब्राउजर डेटाको मौन निकासी सक्षम पार्छ।
डेटा संकलन विस्तार गर्दै
ब्राउजरहरू बाहेक, एभलिनले डेस्कटपको स्क्रिनसटहरू खिच्छिन् र हालको प्रयोगकर्ता नाम, कम्प्युटर नाम, अपरेटिङ सिस्टम संस्करण, स्थापित अनुप्रयोगहरू, चलिरहेको प्रक्रियाहरू, र VPN कन्फिगरेसनहरू सहित विस्तृत प्रणाली विवरणहरू संकलन गर्छिन्। मालवेयरले क्रिप्टोकरेन्सी वालेटहरूलाई पनि सक्रिय रूपमा लक्षित गर्छ, क्लिपबोर्ड निगरानी गर्छ, र बचत गरिएका Wi-Fi प्रमाणहरू पुन: प्राप्त गर्छ।
सबै सङ्कलन गरिएको जानकारीलाई समेकित गरिन्छ, ZIP अभिलेखमा संकुचित गरिन्छ, र FTP मार्फत आक्रमणकारीको C2 सर्भरमा एक्सफिल्टर गरिन्छ।
संक्रमण भेक्टर: एक ट्रोजनाइज्ड विकासकर्ता विस्तार
एभलिनलाई वैध एड-अनको रूपमा प्रस्तुत गर्ने दुर्भावनापूर्ण भिजुअल स्टुडियो कोड एक्सटेन्सन मार्फत वितरण गरिन्छ। स्थापना भएपछि, यो एक्सटेन्सनले सामान्य लाइटशट डायनामिक-लिङ्क लाइब्रेरी (DLL) को रूपमा भेषमा रहेको एक दुष्ट फाइल छोड्छ। त्यसपछि वास्तविक लाइटशट अनुप्रयोगले यो नक्कली DLL लोड गर्छ, अनजानमा आक्रमणकारीको कोड कार्यान्वयन गर्छ।
एकपटक सक्रिय भएपछि, दुर्भावनापूर्ण DLL ले थप पेलोड डाउनलोड गर्न लुकेको PowerShell आदेश सुरु गर्छ। यो माध्यमिक कम्पोनेन्ट एभलिन जानकारी चोरलाई इन्जेक्ट र सक्रिय गर्न जिम्मेवार छ।
सुरक्षा प्रभाव र जोखिम मूल्याङ्कन
एभलिनले यसको चोरी, व्यापक डेटा-संकलन दायरा, र बलियो चोरी प्रविधिहरूको कारणले उच्च-जोखिमको खतरा प्रतिनिधित्व गर्दछ। ब्राउजर डेटा, प्रणाली बुद्धिमत्ता, र क्रिप्टोकरेन्सी सम्पत्तिहरूमा यसको ध्यानले संक्रमणहरूलाई विशेष गरी खतरनाक बनाउँछ। यस चोरीकर्ताद्वारा सम्झौता गर्दा वित्तीय घाटा, खाता अधिग्रहण र पहिचान चोरी हुन सक्छ, जसले बलियो अन्त्य बिन्दु सुरक्षा, सावधानीपूर्वक विस्तार स्थापना अभ्यासहरू, र असामान्य प्रणाली व्यवहारको लागि निरन्तर निगरानीको महत्त्वलाई जोड दिन्छ।
