Evelyn Stealer
Evelyn je sofisticirana zlonamerna programska oprema za krajo informacij, ki je zasnovana za tiho zbiranje občutljivih podatkov, hkrati pa se aktivno izogiba varnostni analizi in odkrivanju. Njena glavna funkcija je zbiranje dragocenih informacij iz okuženih sistemov in njihovo posredovanje v infrastrukturo za upravljanje in nadzor (C2) napadalca prek FTP-ja.
Tat lahko zbira širok nabor podatkov, vključno s shranjenimi poverilnicami brskalnika, vsebino odložišča, gesli za Wi-Fi, podatki o denarnicah s kriptovalutami in podrobnimi sistemskimi informacijami. Ko je združevanje končano, se vse ukradeno gradivo stisne v arhiv ZIP in prenese na napadalčev FTP strežnik.
Kazalo
Tiha namestitev in zloraba zmogljivosti sistema Windows
Ko se Evelyn zažene, dinamično naloži komponente sistema Windows, ki jih potrebuje za delovanje, vključno s funkcionalnostjo za vbrizgavanje procesov, dostop do datotek in registra, omrežno komunikacijo in spremljanje odložišča. Te zmogljivosti omogočajo zlonamerni programski opremi, da se globoko integrira v sistem in podpira njene cilje kraje podatkov.
Da bi ostala prikrita, je Evelyn zasnovana tako, da se izogne tako ročni kot avtomatizirani analizi. Pred popolno aktivacijo oceni svoje okolje, da ugotovi, ali jo kdo pregleduje.
Vgrajena analiza in izogibanje peskovniku
Evelyn uporablja več tehnik proti analizi za odkrivanje virtualnih strojev, razhroščevalnikov in varnostnih ali raziskovalnih orodij. Šele ko se prepriča, da je sistem videti kot pristno uporabniško okolje, nadaljuje.
Na tej stopnji zlonamerna programska oprema v uporabnikovi mapi AppData ustvari lastne imenike, ki jih uporablja za shranjevanje zbranih informacij in podpornih datotek.
Agresivno ciljanje brskalnikov in manipulacija procesov
Zlonamerna programska oprema najprej zbira vse podatke brskalnika, ki so že prisotni v sistemu, nato pa prisilno zapre delujoče brskalnike. To preprečuje konflikte podatkov in hkrati pripravi okolje za naslednjo fazo: vbrizgavanje.
Evelyn potrebuje posebno pomožno datoteko za krajo prijavnih podatkov brskalnika. Najprej preveri, ali ta datoteka že obstaja v imeniku TEMP sistema. Če ne, poskuša prenesti datoteko s strežnika FTP. Kot zadnjo možnost pa poišče imenik, iz katerega se izvaja sama zlonamerna programska oprema.
Ko Evelyn pridobi datoteko, na zelo nadzorovan način zažene ciljni brskalnik in vanj prikrito vbrizga zlonamerno komponento. To omogoča tatu, da zaobide vgrajeno zaščito brskalnika. Da bi se izognili opozorilu uporabnika ali varnostne programske opreme, se brskalnik zažene s številnimi skritimi parametri, ki zavirajo okna, onemogočajo varnostne funkcije in razširitve, preprečujejo ustvarjanje dnevnikov in skrivajo vse vidne znake, da je bil brskalnik odprt. Ti ukrepi omogočajo tiho pridobivanje podatkov brskalnika.
Širitev zbiranja podatkov
Poleg brskalnikov Evelyn zajame posnetke zaslona namizja in zbere obsežne sistemske podrobnosti, vključno s trenutnim uporabniškim imenom, imenom računalnika, različico operacijskega sistema, nameščenimi aplikacijami, procesi, ki se izvajajo, in konfiguracijami VPN. Zlonamerna programska oprema aktivno cilja tudi na denarnice s kriptovalutami, spremlja odložišče in pridobiva shranjene poverilnice za Wi-Fi.
Vse zbrane informacije so združene, stisnjene v ZIP arhiv in prek FTP-ja prenesene na napadalčev strežnik C2.
Vektor okužbe: Razširitev za razvijalce, okužena s trojanskim virusom
Evelyn se distribuira prek zlonamerne razširitve Visual Studio Code, ki se izdaja za legitimni dodatek. Ko je nameščena, ta razširitev spusti lažno datoteko, prikrito kot običajna dinamična knjižnica povezav (DLL) programa Lightshot. Pristna aplikacija Lightshot nato naloži to lažno DLL in nevede izvede napadalčevo kodo.
Ko je zlonamerna DLL-datoteka aktivna, zažene skriti ukaz PowerShell za prenos dodatnega koristnega tovora. Ta sekundarna komponenta je odgovorna za vbrizgavanje in aktiviranje programa za krajo informacij Evelyn.
Ocena vpliva na varnost in tveganja
Evelyn predstavlja visoko tvegano grožnjo zaradi svoje prikritosti, širokega obsega zbiranja podatkov in močnih tehnik izogibanja. Okužbe so še posebej nevarne zaradi osredotočenosti na podatke brskalnika, sistemske inteligence in kriptovalute. Kompromis s strani tega kradljivca lahko povzroči finančne izgube, prevzem računov in krajo identitete, kar poudarja pomen močne zaščite končnih točk, previdnih praks nameščanja razširitev in nenehnega spremljanja nepravilnega delovanja sistema.
