Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Vjedhësit Evelyn Stealer

Evelyn Stealer

Nga MezoVjedhësit, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Evelyn është një program keqdashës i sofistikuar për vjedhjen e informacionit, i ndërtuar për të mbledhur në heshtje të dhëna të ndjeshme, duke shmangur në mënyrë aktive analizën dhe zbulimin e sigurisë. Funksioni i tij kryesor është të mbledhë informacione të vlefshme nga sistemet e infektuara dhe t'i nxjerë ato në infrastrukturën e komandës dhe kontrollit (C2) të një aktori kërcënues nëpërmjet FTP-së.

Vjedhësi është i aftë të mbledhë një gamë të gjerë të dhënash, duke përfshirë kredencialet e ruajtura të shfletuesit, përmbajtjen e clipboard-it, fjalëkalimet e Wi-Fi-t, informacionin e portofolit të kriptomonedhave dhe inteligjencën e detajuar të sistemit. Pasi të përfundojë grumbullimi, i gjithë materiali i vjedhur kompresohet në një arkiv ZIP dhe transmetohet në serverin FTP të sulmuesit.

Konfigurimi i heshtur dhe abuzimi me aftësitë e Windows

Kur ekzekutohet, Evelyn ngarkon në mënyrë dinamike komponentët e Windows që i nevojiten për të funksionuar, duke përfshirë funksionalitetin për injektimin e proceseve, aksesin në skedarë dhe regjistër, komunikimin në rrjet dhe monitorimin e clipboard-it. Këto aftësi i lejojnë malware-it të integrohet thellë në sistem dhe të mbështesë objektivat e tij të vjedhjes së të dhënave.

Për të mbetur e fshehtë, Evelyn është projektuar për të shmangur analizën manuale dhe atë automatike. Përpara se të aktivizohet plotësisht, ajo vlerëson mjedisin e saj për të përcaktuar nëse po shqyrtohet.

Analiza e integruar dhe shmangia e sandbox-it

Evelyn përdor teknika të shumta anti-analize për të zbuluar makina virtuale, programe korrigjimi gabimesh dhe mjete sigurie ose kërkimi. Vetëm pasi të konfirmohet se sistemi duket të jetë një mjedis i vërtetë përdoruesi, vazhdon puna.

Në atë fazë, malware krijon drejtoritë e veta brenda dosjes AppData të përdoruesit, të cilat i përdor për të ruajtur informacionin e mbledhur dhe skedarët mbështetës.

Targetimi agresiv i shfletuesit dhe manipulimi i proceseve

Malware fillon duke mbledhur çdo të dhënë të shfletuesit që është tashmë e pranishme në sistem dhe më pas mbyll me forcë shfletuesit në punë. Kjo parandalon konfliktet e të dhënave dhe përgatit mjedisin për fazën tjetër: injektimi.

Evelyn kërkon një skedar ndihmës specifik për të vjedhur të dhënat e hyrjes në shfletues. Së pari kontrollon nëse ky skedar ekziston tashmë në direktorinë TEMP të sistemit. Nëse jo, përpiqet ta shkarkojë skedarin nga serveri i tij FTP. Si një alternativë përfundimtare, kërkon direktorinë nga e cila po ekzekutohet vetë programi keqdashës.

Pasi të merret skedari, Evelyn e hap shfletuesin e synuar në një mënyrë shumë të kontrolluar dhe injekton fshehurazi përbërësin keqdashës në të. Kjo i lejon vjedhësit të anashkalojë mbrojtjet e integruara të shfletuesit. Për të shmangur njoftimin e përdoruesit ose të softuerit të sigurisë, shfletuesi niset me parametra të shumtë të fshehur që shtypin dritaret, çaktivizojnë veçoritë dhe zgjerimet e sigurisë, parandalojnë krijimin e regjistrave dhe fshehin çdo shenjë të dukshme që tregon se shfletuesi është hapur. Këto masa mundësojnë nxjerrjen e heshtur të të dhënave të shfletuesit.

Zgjerimi i Mbledhjes së të Dhënave

Përtej shfletuesve, Evelyn kap pamje të ekranit të desktopit dhe përpilon detaje të gjera të sistemit, duke përfshirë emrin aktual të përdoruesit, emrin e kompjuterit, versionin e sistemit operativ, aplikacionet e instaluara, proceset në ekzekutim dhe konfigurimet e VPN-së. Malware gjithashtu synon në mënyrë aktive portofolet e kriptomonedhave, monitoron kujtesën dhe rikuperon kredencialet e ruajtura të Wi-Fi-së.

I gjithë informacioni i mbledhur konsolidohet, kompresohet në një arkiv ZIP dhe dërgohet në serverin C2 të sulmuesit nëpërmjet FTP.

Vektori i Infection: Një Zgjerim i Zhvilluesit i Trojanizuar

Evelyn shpërndahet nëpërmjet një shtojce keqdashëse të Visual Studio Code që paraqitet si një shtesë e ligjshme. Kur instalohet, kjo shtesë lëshon një skedar mashtrues të maskuar si një bibliotekë normale me lidhje dinamike (DLL) e Lightshot. Aplikacioni i vërtetë Lightshot më pas ngarkon këtë DLL të rreme, duke ekzekutuar pa vetëdije kodin e sulmuesit.

Pasi aktivizohet, DLL-ja keqdashëse nis një komandë të fshehur PowerShell për të shkarkuar një ngarkesë shtesë. Ky komponent dytësor është përgjegjës për injektimin dhe aktivizimin e vjedhësit të informacionit Evelyn.

Vlerësimi i Ndikimit në Siguri dhe Rrezikut

Evelyn përfaqëson një kërcënim me rrezik të lartë për shkak të fshehtësisë, fushëveprimit të gjerë të mbledhjes së të dhënave dhe teknikave të forta të shmangies. Fokusi i tij në të dhënat e shfletuesit, inteligjencën e sistemit dhe asetet e kriptomonedhave i bën infeksionet veçanërisht të rrezikshme. Komprometimi nga ky hajdut mund të rezultojë në humbje financiare, marrje llogarish dhe vjedhje identiteti, duke nënvizuar rëndësinë e mbrojtjes së fortë të pikave fundore, praktikave të kujdesshme të instalimit të zgjerimeve dhe monitorimit të vazhdueshëm për sjelljen anormale të sistemit.

Në trend

Më e shikuara

Po ngarkohet...