Evelyn Stealer
Evelyn is geavanceerde malware die informatie steelt en is ontworpen om stilletjes gevoelige gegevens te verzamelen, terwijl het actief beveiligingsanalyses en detectie ontwijkt. De primaire functie is het verzamelen van waardevolle informatie van geïnfecteerde systemen en deze via FTP door te sturen naar de command-and-control (C2)-infrastructuur van een aanvaller.
De dief is in staat een breed scala aan gegevens te verzamelen, waaronder opgeslagen browsergegevens, klembordinhoud, wifi-wachtwoorden, informatie over cryptovaluta-wallets en gedetailleerde systeeminformatie. Zodra de verzameling is voltooid, wordt al het gestolen materiaal gecomprimeerd in een ZIP-archief en verzonden naar de FTP-server van de aanvaller.
Inhoudsopgave
Stille installatie en misbruik van Windows-mogelijkheden
Wanneer Evelyn wordt uitgevoerd, laadt het dynamisch de Windows-componenten die het nodig heeft om te functioneren, waaronder functionaliteit voor procesinjectie, toegang tot bestanden en het register, netwerkcommunicatie en het monitoren van het klembord. Deze mogelijkheden stellen de malware in staat om diep in het systeem te integreren en zijn doelstellingen voor gegevensdiefstal te ondersteunen.
Om onopgemerkt te blijven, is Evelyn zo ontworpen dat ze zowel handmatige als geautomatiseerde analyses kan ontwijken. Voordat ze volledig geactiveerd wordt, analyseert ze haar omgeving om te bepalen of ze wordt onderzocht.
Ingebouwde analyse en sandbox-ontwijking
Evelyn gebruikt meerdere anti-analysetechnieken om virtuele machines, debuggers en beveiligings- of onderzoekstools te detecteren. Pas nadat is bevestigd dat het systeem een legitieme gebruikersomgeving lijkt te zijn, gaat het verder.
In die fase maakt de malware eigen mappen aan in de AppData-map van de gebruiker, die het gebruikt om verzamelde informatie en ondersteunende bestanden op te slaan.
Agressieve browsertargeting en procesmanipulatie
De malware begint met het verzamelen van alle browsergegevens die al op het systeem aanwezig zijn en sluit vervolgens alle actieve browsers geforceerd af. Dit voorkomt dataconflicten en bereidt de omgeving voor op de volgende fase: injectie.
Evelyn heeft een specifiek hulpbestand nodig om inloggegevens van browsers te stelen. Eerst controleert het of dit bestand al in de TEMP-map van het systeem aanwezig is. Zo niet, dan probeert het het bestand van zijn FTP-server te downloaden. Als laatste redmiddel doorzoekt het de map van waaruit de malware zelf wordt uitgevoerd.
Zodra het bestand is verkregen, start Evelyn de beoogde browser op een zeer gecontroleerde manier en injecteert ze heimelijk de kwaadaardige component erin. Dit stelt de hacker in staat om ingebouwde browserbeveiligingen te omzeilen. Om te voorkomen dat de gebruiker of beveiligingssoftware wordt gealarmeerd, wordt de browser gestart met tal van verborgen parameters die vensters onderdrukken, beveiligingsfuncties en extensies uitschakelen, het aanmaken van logbestanden voorkomen en alle zichtbare tekenen verbergen dat de browser is geopend. Deze maatregelen maken het mogelijk om geruisloos browsergegevens te extraheren.
De gegevensverzameling uitbreiden
Evelyn maakt niet alleen screenshots van browsers, maar verzamelt ook uitgebreide systeemgegevens, waaronder de huidige gebruikersnaam, computernaam, versie van het besturingssysteem, geïnstalleerde applicaties, actieve processen en VPN-configuraties. De malware richt zich ook actief op cryptowallets, controleert het klembord en haalt opgeslagen wifi-gegevens op.
Alle verzamelde informatie wordt samengevoegd, gecomprimeerd tot een ZIP-archief en via FTP naar de C2-server van de aanvaller geëxfiltreerd.
Infectievector: een getrojaniseerde ontwikkelaarsextensie
Evelyn wordt verspreid via een kwaadaardige Visual Studio Code-extensie die zich voordoet als een legitieme add-on. Na installatie plaatst deze extensie een vals bestand dat vermomd is als een normale Lightshot-dynamische linkbibliotheek (DLL). De legitieme Lightshot-applicatie laadt vervolgens deze nep-DLL, waardoor de code van de aanvaller onbewust wordt uitgevoerd.
Zodra de kwaadaardige DLL actief is, voert deze een verborgen PowerShell-opdracht uit om een extra payload te downloaden. Deze secundaire component is verantwoordelijk voor het injecteren en activeren van de Evelyn-informatiediefstalsoftware.
Beveiligingsimpact en risicobeoordeling
Evelyn vormt een zeer risicovolle bedreiging vanwege de heimelijke werking, de brede reikwijdte van de gegevensverzameling en de sterke ontwijktechnieken. De focus op browsergegevens, systeeminformatie en cryptovaluta maakt infecties bijzonder gevaarlijk. Een inbreuk door deze malware kan leiden tot financiële verliezen, accountovernames en identiteitsdiefstal, wat het belang onderstreept van robuuste endpointbeveiliging, zorgvuldige installatie van extensies en continue monitoring op afwijkend systeemgedrag.
