Эвелин Стилер
Evelyn — это сложная вредоносная программа, предназначенная для кражи информации и незаметного сбора конфиденциальных данных, при этом активно избегая анализа и обнаружения со стороны служб безопасности. Ее основная функция — сбор ценной информации из зараженных систем и ее передача в командно-контрольную (C2) инфраструктуру злоумышленника по протоколу FTP.
Злоумышленник способен собирать широкий спектр данных, включая сохраненные учетные данные браузера, содержимое буфера обмена, пароли Wi-Fi, информацию о криптовалютных кошельках и подробные сведения о системе. После завершения сбора все украденные данные сжимаются в ZIP-архив и передаются на FTP-сервер злоумышленника.
Оглавление
Тихая установка и злоупотребление возможностями Windows
При запуске Evelyn динамически загружает необходимые для работы компоненты Windows, включая функциональность для внедрения процессов, доступа к файлам и реестру, сетевой связи и мониторинга буфера обмена. Эти возможности позволяют вредоносной программе глубоко интегрироваться в систему и поддерживать свои цели по краже данных.
Чтобы оставаться незамеченной, Эвелин сконструирована таким образом, чтобы избегать как ручного, так и автоматизированного анализа. Перед полной активацией она оценивает окружающую среду, чтобы определить, ведется ли в ней наблюдение.
Встроенный анализ и обход песочницы
Эвелин использует множество методов противодействия анализу для обнаружения виртуальных машин, отладчиков и инструментов безопасности или исследовательских инструментов. Дальнейшая работа начинается только после подтверждения того, что система действительно является пользовательской средой.
На этом этапе вредоносная программа создает собственные каталоги в папке AppData пользователя, которые она использует для хранения собранной информации и вспомогательных файлов.
Агрессивный таргетированный поиск браузеров и манипулирование процессами.
Вредоносная программа начинает с сбора уже имеющихся в системе данных браузера, а затем принудительно закрывает запущенные браузеры. Это предотвращает конфликты данных и подготавливает среду для следующей фазы: внедрения.
Для кражи данных для входа в браузер Evelyn требуется специальный вспомогательный файл. Сначала он проверяет, существует ли этот файл уже во временной директории системы. Если нет, он пытается загрузить файл со своего FTP-сервера. В качестве последнего запасного варианта он ищет файл в директории, из которой запущена сама вредоносная программа.
Получив файл, Эвелин запускает целевой браузер в строго контролируемом режиме и незаметно внедряет в него вредоносный компонент. Это позволяет злоумышленнику обойти встроенную защиту браузера. Чтобы избежать оповещения пользователя или программного обеспечения безопасности, браузер запускается с многочисленными скрытыми параметрами, которые подавляют окна, отключают функции безопасности и расширения, предотвращают создание журналов и скрывают любые видимые признаки открытия браузера. Эти меры позволяют незаметно извлекать данные браузера.
Расширение сбора данных
Помимо браузеров, Эвелин делает снимки экрана рабочего стола и собирает подробную информацию о системе, включая текущее имя пользователя, имя компьютера, версию операционной системы, установленные приложения, запущенные процессы и настройки VPN. Вредоносная программа также активно атакует криптовалютные кошельки, отслеживает буфер обмена и извлекает сохраненные учетные данные Wi-Fi.
Вся собранная информация консолидируется, сжимается в ZIP-архив и передается на C2-сервер злоумышленника через FTP.
Вектор заражения: троянизированное расширение для разработчиков.
Evelyn распространяется через вредоносное расширение Visual Studio Code, маскирующееся под легитимное дополнение. После установки это расширение создает вредоносный файл, замаскированный под обычную динамически подключаемую библиотеку Lightshot (DLL). Затем подлинное приложение Lightshot загружает эту поддельную DLL, неосознанно выполняя код злоумышленника.
После активации вредоносная DLL-библиотека запускает скрытую команду PowerShell для загрузки дополнительной полезной нагрузки. Этот вторичный компонент отвечает за внедрение и активацию программы-похитителя информации Evelyn.
Оценка воздействия на безопасность и рисков
Evelyn представляет собой угрозу высокого риска из-за своей скрытности, широкого охвата сбора данных и эффективных методов обхода защиты. Его ориентация на данные браузера, системную аналитику и криптовалютные активы делает заражение особенно опасным. Компрометация с помощью этого вредоносного ПО может привести к финансовым потерям, захвату учетных записей и краже личных данных, что подчеркивает важность надежной защиты конечных точек, осторожной установки расширений и постоянного мониторинга аномального поведения системы.
