Evelyn Stealer
Evelyn este un malware sofisticat, care fură informații, conceput pentru a colecta în mod discret date sensibile, evitând în același timp în mod activ analiza și detectarea securității. Funcția sa principală este de a colecta informații valoroase din sistemele infectate și de a le exfiltra către infrastructura de comandă și control (C2) a unui actor amenințător prin FTP.
Furtul de date este capabil să colecteze o gamă largă de date, inclusiv acreditări de browser salvate, conținutul clipboard-ului, parole Wi-Fi, informații despre portofelul de criptomonede și informații detaliate despre sistem. Odată ce agregarea este completă, tot materialul furat este comprimat într-o arhivă ZIP și transmis către serverul FTP al atacatorului.
Cuprins
Instalare silențioasă și abuz de capacitățile Windows
Când este executat, Evelyn încarcă dinamic componentele Windows de care are nevoie pentru a funcționa, inclusiv funcționalități pentru injectarea de procese, accesul la fișiere și registry, comunicarea în rețea și monitorizarea clipboard-ului. Aceste capabilități permit malware-ului să se integreze profund în sistem și să își susțină obiectivele de furt de date.
Pentru a rămâne secretă, Evelyn este proiectată să evite atât analiza manuală, cât și pe cea automată. Înainte de activarea completă, își evaluează mediul pentru a determina dacă este examinat.
Analiză încorporată și evitarea sandbox-ului
Evelyn folosește multiple tehnici anti-analiză pentru a detecta mașini virtuale, depanatoare și instrumente de securitate sau cercetare. Numai după ce confirmă că sistemul pare a fi un mediu de utilizator autentic, acesta continuă.
În acea etapă, malware-ul își creează propriile directoare în folderul AppData al utilizatorului, pe care le folosește pentru a stoca informațiile colectate și fișierele de suport.
Direcționarea agresivă a browserului și manipularea proceselor
Malware-ul începe prin colectarea oricăror date de browser deja prezente în sistem și apoi închide forțat browserele care rulează. Acest lucru previne conflictele de date și pregătește mediul pentru următoarea fază: injectarea.
Evelyn necesită un fișier auxiliar specific pentru a fura datele de conectare la browser. Mai întâi verifică dacă acest fișier există deja în directorul TEMP al sistemului. Dacă nu, încearcă să descarce fișierul de pe serverul său FTP. Ca soluție finală, caută în directorul din care rulează malware-ul în sine.
Odată ce fișierul este obținut, Evelyn lansează browserul vizat într-un mod extrem de controlat și injectează în mod ascuns componenta malițioasă în acesta. Acest lucru permite hoțului să ocolească protecțiile încorporate ale browserului. Pentru a evita alertarea utilizatorului sau a software-ului de securitate, browserul este pornit cu numeroși parametri ascunși care suprimă ferestrele, dezactivează funcțiile de securitate și extensiile, împiedică crearea de jurnal și ascund orice semne vizibile că browserul a fost deschis. Aceste măsuri permit extragerea silențioasă a datelor browserului.
Extinderea recoltei de date
Dincolo de browsere, Evelyn face capturi de ecran ale desktopului și compilează detalii extinse ale sistemului, inclusiv numele de utilizator curent, numele computerului, versiunea sistemului de operare, aplicațiile instalate, procesele care rulează și configurațiile VPN. De asemenea, malware-ul vizează în mod activ portofelele de criptomonede, monitorizează clipboard-ul și recuperează acreditările Wi-Fi salvate.
Toate informațiile colectate sunt consolidate, comprimate într-o arhivă ZIP și exfiltrate către serverul C2 al atacatorului prin FTP.
Vector de infecție: o extensie pentru dezvoltatori cu troian
Evelyn este distribuit prin intermediul unei extensii malware Visual Studio Code care se prezintă drept un add-on legitim. Când este instalată, această extensie elimină un fișier necinstit deghizat într-o bibliotecă Lightshot cu legături dinamice (DLL) normală. Aplicația Lightshot autentică încarcă apoi această DLL falsă, executând fără să știe codul atacatorului.
Odată activă, DLL-ul malițios lansează o comandă PowerShell ascunsă pentru a descărca o utilă suplimentară. Această componentă secundară este responsabilă pentru injectarea și activarea instrumentului Evelyn information stealer.
Evaluarea impactului și a riscurilor de securitate
Evelyn reprezintă o amenințare cu risc ridicat datorită ascunderii sale, gamei largi de colectare a datelor și tehnicilor puternice de evitare a atacurilor. Concentrarea sa pe datele browserului, inteligența sistemului și activele criptomonedelor face ca infecțiile să fie deosebit de periculoase. Compromiterea de către acest hacker poate duce la pierderi financiare, preluări de conturi și furt de identitate, subliniind importanța unei protecții puternice a endpoint-urilor, a unor practici prudente de instalare a extensiilor și a monitorizării continue a comportamentului anormal al sistemului.
