Evelyn Stealer
Evelyn je sofistikovaný malvér na krádež informácií, ktorý je vytvorený tak, aby nenápadne zhromažďoval citlivé údaje a zároveň sa aktívne vyhýbal bezpečnostnej analýze a detekcii. Jeho primárnou funkciou je zhromažďovať cenné informácie z infikovaných systémov a prenášať ich do infraštruktúry velenia a riadenia (C2) útočníka cez FTP.
Zlodej dokáže zhromažďovať širokú škálu údajov vrátane uložených prihlasovacích údajov prehliadača, obsahu schránky, hesiel k Wi-Fi, informácií o kryptomenových peňaženkách a podrobných systémových informácií. Po dokončení agregácie sa všetok ukradnutý materiál skomprimuje do ZIP archívu a odošle sa na FTP server útočníka.
Obsah
Tiché nastavenie a zneužívanie funkcií systému Windows
Po spustení Evelyn dynamicky načíta komponenty systému Windows, ktoré potrebuje na svoju prevádzku, vrátane funkcií pre vkladanie procesov, prístup k súborom a registru, sieťovú komunikáciu a monitorovanie schránky. Tieto funkcie umožňujú malvéru hlboko sa integrovať do systému a podporovať jeho ciele v oblasti krádeže údajov.
Aby Evelyn zostala nenápadná, je navrhnutá tak, aby sa vyhla manuálnej aj automatizovanej analýze. Pred plnou aktiváciou vyhodnotí svoje prostredie, aby zistila, či je predmetom kontroly.
Vstavaná analýza a obchádzanie sandboxu
Evelyn využíva viacero antianalytických techník na detekciu virtuálnych počítačov, ladiaci program a bezpečnostné alebo výskumné nástroje. Až po overení, že systém vyzerá ako skutočné používateľské prostredie, pokračuje.
V tejto fáze si malvér vytvorí vlastné adresáre v priečinku AppData používateľa, ktoré používa na ukladanie zozbieraných informácií a podporných súborov.
Agresívne zacielenie prehliadača a manipulácia s procesmi
Malvér začína zhromažďovaním všetkých údajov prehliadača, ktoré sú už v systéme prítomné, a potom násilne zatvára spustené prehliadače. Tým sa zabráni konfliktom údajov a zároveň sa pripraví prostredie na ďalšiu fázu: vstreknutie škodlivého softvéru.
Evelyn potrebuje na krádež prihlasovacích údajov prehliadača špecifický pomocný súbor. Najprv skontroluje, či tento súbor už existuje v adresári TEMP systému. Ak nie, pokúsi sa ho stiahnuť zo svojho FTP servera. Ako poslednú možnosť prehľadá adresár, z ktorého beží samotný malvér.
Po získaní súboru Evelyn spustí cieľový prehliadač prísne kontrolovaným spôsobom a tajne doň vloží škodlivú zložku. To umožňuje útočníkovi obísť vstavané ochrany prehliadača. Aby sa predišlo upozorneniu používateľa alebo bezpečnostného softvéru, prehliadač sa spustí s množstvom skrytých parametrov, ktoré potláčajú okná, deaktivujú bezpečnostné funkcie a rozšírenia, zabraňujú vytváraniu protokolov a skrývajú všetky viditeľné známky toho, že bol prehliadač otvorený. Tieto opatrenia umožňujú tichú extrakciu údajov prehliadača.
Rozšírenie zberu údajov
Okrem prehliadačov Evelyn zachytáva snímky obrazovky pracovnej plochy a zhromažďuje rozsiahle systémové podrobnosti vrátane aktuálneho používateľského mena, názvu počítača, verzie operačného systému, nainštalovaných aplikácií, spustených procesov a konfigurácií VPN. Malvér tiež aktívne cieli na kryptomenové peňaženky, monitoruje schránku a načítava uložené prihlasovacie údaje Wi-Fi.
Všetky zhromaždené informácie sú zlúčené, komprimované do ZIP archívu a exfiltrované na C2 server útočníka cez FTP.
Vektor infekcie: Rozšírenie vývojára s trójskym koňom
Evelyn sa distribuuje prostredníctvom škodlivého rozšírenia Visual Studio Code, ktoré sa vydáva za legitímny doplnok. Po nainštalovaní toto rozšírenie umiestni falošný súbor maskovaný ako bežná dynamická knižnica (DLL) Lightshot. Skutočná aplikácia Lightshot potom načíta túto falošnú knižnicu DLL a nevedomky spustí kód útočníka.
Po aktivácii škodlivá knižnica DLL spustí skrytý príkaz PowerShellu na stiahnutie dodatočného užitočného zaťaženia. Tento sekundárny komponent je zodpovedný za vkladanie a aktiváciu nástroja na krádež informácií Evelyn.
Posúdenie vplyvu na bezpečnosť a rizík
Evelyn predstavuje vysoko rizikovú hrozbu kvôli svojej nenápadnosti, širokému rozsahu zhromažďovania údajov a silným technikám obchádzania. Jeho zameranie na údaje prehliadača, systémové informácie a kryptomenové aktíva robí infekcie obzvlášť nebezpečnými. Napadnutie týmto zlodejom môže viesť k finančným stratám, prevzatiu kontroly nad účtami a krádeži identity, čo zdôrazňuje dôležitosť silnej ochrany koncových bodov, opatrných postupov pri inštalácii rozšírení a neustáleho monitorovania anomálneho správania systému.
