Evelyn Stealer
Evelyn é um malware sofisticado para roubo de informações, projetado para coletar dados sensíveis silenciosamente, evitando ativamente análises e detecção de segurança. Sua principal função é extrair informações valiosas de sistemas infectados e exfiltrá-las para a infraestrutura de comando e controle (C2) de um agente malicioso via FTP.
O invasor é capaz de coletar uma ampla gama de dados, incluindo credenciais de navegador salvas, conteúdo da área de transferência, senhas de Wi-Fi, informações de carteiras de criptomoedas e inteligência detalhada do sistema. Após a conclusão da coleta, todo o material roubado é compactado em um arquivo ZIP e transmitido para o servidor FTP do atacante.
Índice
Configuração silenciosa e abuso dos recursos do Windows
Ao ser executado, o Evelyn carrega dinamicamente os componentes do Windows necessários para seu funcionamento, incluindo funcionalidades para injeção de processos, acesso a arquivos e ao registro, comunicação em rede e monitoramento da área de transferência. Essas capacidades permitem que o malware se integre profundamente ao sistema e dê suporte aos seus objetivos de roubo de dados.
Para manter-se discreta, Evelyn foi projetada para evitar análises manuais e automatizadas. Antes de ser totalmente ativada, ela avalia o ambiente ao seu redor para determinar se está sendo examinada.
Análise integrada e evasão de sandbox
Evelyn emprega diversas técnicas anti-análise para detectar máquinas virtuais, depuradores e ferramentas de segurança ou pesquisa. Somente após confirmar que o sistema aparenta ser um ambiente de usuário genuíno é que ela prossegue.
Nessa fase, o malware cria seus próprios diretórios dentro da pasta AppData do usuário, que utiliza para armazenar as informações coletadas e os arquivos de suporte.
Ataques agressivos a navegadores e manipulação de processos
O malware começa coletando quaisquer dados de navegador já presentes no sistema e, em seguida, fecha à força os navegadores em execução. Isso evita conflitos de dados e prepara o ambiente para a próxima fase: a injeção.
Evelyn requer um arquivo auxiliar específico para roubar dados de login do navegador. Primeiro, verifica se esse arquivo já existe no diretório TEMP do sistema. Caso contrário, tenta baixá-lo do seu servidor FTP. Como último recurso, busca no diretório de onde o próprio malware está sendo executado.
Após obter o arquivo, Evelyn inicia o navegador alvo de forma altamente controlada e injeta o componente malicioso de maneira oculta. Isso permite que o invasor burle as proteções integradas do navegador. Para evitar alertar o usuário ou o software de segurança, o navegador é iniciado com diversos parâmetros ocultos que suprimem janelas, desativam recursos e extensões de segurança, impedem a criação de registros e escondem quaisquer sinais visíveis de que o navegador foi aberto. Essas medidas possibilitam a extração silenciosa de dados do navegador.
Ampliando a Coleta de Dados
Além dos navegadores, o Evelyn captura imagens da área de trabalho e compila detalhes extensivos do sistema, incluindo o nome de usuário atual, o nome do computador, a versão do sistema operacional, os aplicativos instalados, os processos em execução e as configurações de VPN. O malware também visa ativamente carteiras de criptomoedas, monitora a área de transferência e recupera credenciais de Wi-Fi salvas.
Todas as informações coletadas são consolidadas, compactadas em um arquivo ZIP e enviadas para o servidor C2 do atacante via FTP.
Vetor de Infecção: Uma Extensão de Desenvolvedor Trojanizada
Evelyn é distribuída por meio de uma extensão maliciosa do Visual Studio Code que se passa por um complemento legítimo. Ao ser instalada, essa extensão instala um arquivo malicioso disfarçado de biblioteca de vínculo dinâmico (DLL) normal do Lightshot. O aplicativo Lightshot legítimo então carrega essa DLL falsa, executando, sem saber, o código do atacante.
Uma vez ativada, a DLL maliciosa executa um comando oculto do PowerShell para baixar uma carga útil adicional. Esse componente secundário é responsável por injetar e ativar o programa de roubo de informações Evelyn.
Avaliação de impacto e risco de segurança
Evelyn representa uma ameaça de alto risco devido à sua furtividade, amplo alcance de coleta de dados e fortes técnicas de evasão. Seu foco em dados do navegador, inteligência do sistema e ativos de criptomoedas torna as infecções particularmente perigosas. A invasão por esse malware pode resultar em perdas financeiras, apropriação de contas e roubo de identidade, ressaltando a importância de uma forte proteção de endpoints, práticas cautelosas de instalação de extensões e monitoramento contínuo de comportamentos anômalos do sistema.
