Evelyn Stealer
Evelyn to wyrafinowane złośliwe oprogramowanie do kradzieży informacji, stworzone w celu dyskretnego gromadzenia poufnych danych, jednocześnie aktywnie unikając analizy bezpieczeństwa i wykrycia. Jego główną funkcją jest zbieranie cennych informacji z zainfekowanych systemów i przesyłanie ich do infrastruktury kontroli i dowodzenia (C2) atakującego za pośrednictwem protokołu FTP.
Złodziej jest w stanie zebrać szeroki zakres danych, w tym zapisane dane logowania do przeglądarki, zawartość schowka, hasła Wi-Fi, informacje o portfelach kryptowalutowych oraz szczegółowe dane systemowe. Po zakończeniu agregacji wszystkie skradzione materiały są kompresowane do archiwum ZIP i przesyłane na serwer FTP atakującego.
Spis treści
Cicha instalacja i nadużywanie możliwości systemu Windows
Po uruchomieniu, Evelyn dynamicznie ładuje komponenty systemu Windows niezbędne do działania, w tym funkcje wstrzykiwania procesów, dostępu do plików i rejestru, komunikacji sieciowej oraz monitorowania schowka. Te możliwości pozwalają złośliwemu oprogramowaniu na głęboką integrację z systemem i wspierają jego cele kradzieży danych.
Aby pozostać w ukryciu, Evelyn została zaprojektowana tak, aby unikać zarówno analizy ręcznej, jak i automatycznej. Przed pełną aktywacją, ocenia swoje otoczenie, aby ustalić, czy jest badane.
Wbudowana analiza i unikanie piaskownicy
Evelyn wykorzystuje wiele technik antyanalizy do wykrywania maszyn wirtualnych, debuggerów oraz narzędzi bezpieczeństwa i badawczych. Dopiero po potwierdzeniu, że system wydaje się być autentycznym środowiskiem użytkownika, system przechodzi do działania.
Na tym etapie złośliwe oprogramowanie tworzy własne katalogi w folderze AppData użytkownika, w których przechowuje zebrane informacje i pliki pomocnicze.
Agresywne targetowanie przeglądarek i manipulacja procesami
Szkodliwe oprogramowanie rozpoczyna działanie od zebrania wszelkich danych przeglądarki już obecnych w systemie, a następnie wymusza zamknięcie uruchomionych przeglądarek. Zapobiega to konfliktom danych i przygotowuje środowisko do kolejnej fazy: wstrzyknięcia.
Evelyn potrzebuje specjalnego pliku pomocniczego do kradzieży danych logowania do przeglądarki. Najpierw sprawdza, czy plik ten znajduje się już w katalogu TEMP systemu. Jeśli nie, próbuje pobrać plik ze swojego serwera FTP. W ostateczności przeszukuje katalog, z którego uruchamiane jest samo złośliwe oprogramowanie.
Po uzyskaniu pliku, Evelyn uruchamia docelową przeglądarkę w ściśle kontrolowany sposób i potajemnie wstrzykuje do niej złośliwy komponent. Pozwala to złodziejowi ominąć wbudowane zabezpieczenia przeglądarki. Aby uniknąć ostrzeżenia użytkownika lub oprogramowania zabezpieczającego, przeglądarka jest uruchamiana z wieloma ukrytymi parametrami, które blokują okna, wyłączają funkcje bezpieczeństwa i rozszerzenia, zapobiegają tworzeniu logów i ukrywają wszelkie widoczne oznaki otwarcia przeglądarki. Te środki umożliwiają ciche pobieranie danych przeglądarki.
Rozszerzanie zbioru danych
Poza przeglądarką, Evelyn przechwytuje zrzuty ekranu pulpitu i gromadzi szczegółowe informacje o systemie, w tym aktualną nazwę użytkownika, nazwę komputera, wersję systemu operacyjnego, zainstalowane aplikacje, uruchomione procesy i konfiguracje VPN. Szkodliwe oprogramowanie aktywnie atakuje również portfele kryptowalut, monitoruje schowek i pobiera zapisane dane uwierzytelniające Wi-Fi.
Wszystkie zebrane informacje są konsolidowane, kompresowane do archiwum ZIP i przesyłane na serwer C2 atakującego za pomocą protokołu FTP.
Wektor infekcji: trojanizowane rozszerzenie dla programistów
Evelyn jest dystrybuowany za pośrednictwem złośliwego rozszerzenia Visual Studio Code, podszywającego się pod legalny dodatek. Po zainstalowaniu rozszerzenie to umieszcza w systemie podejrzany plik podszywający się pod normalną bibliotekę DLL Lightshot. Oryginalna aplikacja Lightshot ładuje następnie tę fałszywą bibliotekę DLL, nieświadomie wykonując kod atakującego.
Po aktywacji, złośliwa biblioteka DLL uruchamia ukryte polecenie programu PowerShell w celu pobrania dodatkowego ładunku. Ten dodatkowy komponent odpowiada za wstrzyknięcie i aktywację programu wykradającego informacje Evelyn.
Ocena wpływu na bezpieczeństwo i ocena ryzyka
Evelyn stanowi zagrożenie wysokiego ryzyka ze względu na swoją ukrytą naturę, szeroki zakres gromadzenia danych i skuteczne techniki unikania ataków. Koncentracja na danych przeglądarki, inteligencji systemu i zasobach kryptowalutowych sprawia, że infekcje są szczególnie niebezpieczne. Złamanie zabezpieczeń przez tego złodzieja może skutkować stratami finansowymi, przejęciem kont i kradzieżą tożsamości, co podkreśla znaczenie silnej ochrony punktów końcowych, ostrożnej instalacji rozszerzeń oraz ciągłego monitorowania pod kątem anomalii w działaniu systemu.
