Евелин Стилер
Евелин је софистицирани малвер за крађу информација, направљен да неприметно прикупља осетљиве податке, док активно избегава безбедносну анализу и откривање. Његова примарна функција је да прикупља вредне информације из заражених система и да их преко FTP-а пренесе у командно-контролну (C2) инфраструктуру претње.
Крадљивац је способан да прикупља широк спектар података, укључујући сачуване податке прегледача, садржај међуспремника, лозинке за Wi-Fi, информације о криптовалутним новчаницима и детаљне системске информације. Када се агрегација заврши, сав украдени материјал се компресује у ZIP архиву и преноси на FTP сервер нападача.
Преглед садржаја
Тихо подешавање и злоупотреба могућности система Windows
Када се покрене, Евелин динамички учитава Windows компоненте које су јој потребне за рад, укључујући функционалност за убризгавање процеса, приступ датотекама и регистру, мрежну комуникацију и праћење међуспремника. Ове могућности омогућавају злонамерном софтверу да се дубоко интегрише у систем и подржи своје циљеве крађе података.
Да би остала тајна, Евелин је пројектована да избегне и ручну и аутоматизовану анализу. Пре него што се потпуно активира, процењује своје окружење како би утврдила да ли је неко испитује.
Уграђена анализа и избегавање песковитих оквира
Евелин користи више техника анти-аналитике како би открила виртуелне машине, дебагере и безбедносне или истраживачке алате. Тек након што се потврди да систем изгледа као оригинално корисничко окружење, наставља се.
У тој фази, злонамерни софтвер креира сопствене директоријуме унутар корисникове фасцикле AppData, које користи за чување прикупљених информација и пратећих датотека.
Агресивно циљање прегледача и манипулација процесима
Злонамерни софтвер почиње прикупљањем свих података прегледача који су већ присутни на систему, а затим присилно затвара покренуте прегледаче. Ово спречава сукобе података и припрема окружење за следећу фазу: убризгавање.
Евелин захтева посебну помоћну датотеку да би украо податке за пријаву у прегледач. Прво проверава да ли та датотека већ постоји у TEMP директоријуму система. Ако не, покушава да преузме датотеку са свог FTP сервера. Као последњу резервну меру, претражује директоријум из којег се покреће сам злонамерни софтвер.
Када се датотека добије, Евелин покреће циљани прегледач на веома контролисан начин и тајно убризгава злонамерну компоненту у њега. Ово омогућава крадљивцу да заобиђе уграђене заштите прегледача. Да би се избегло упозоравање корисника или безбедносног софтвера, прегледач се покреће са бројним скривеним параметрима који сузбијају прозоре, онемогућавају безбедносне функције и проширења, спречавају креирање дневника и скривају све видљиве знаке да је прегледач отворен. Ове мере омогућавају тихо издвајање података прегледача.
Проширивање прикупљања података
Поред прегледача, Евелин прави снимке екрана радне површине и прикупља опсежне системске детаље, укључујући тренутно корисничко име, име рачунара, верзију оперативног система, инсталиране апликације, покренуте процесе и VPN конфигурације. Злонамерни софтвер такође активно циља криптовалутне новчанике, прати међуспремник и преузима сачуване Wi-Fi акредитиве.
Све прикупљене информације се консолидују, компресују у ZIP архиву и преносе на C2 сервер нападача путем FTP-а.
Вектор инфекције: Тројанизовано проширење за програмере
Евелин се дистрибуира путем злонамерног Visual Studio Code проширења које се представља као легитимни додатак. Када се инсталира, ово проширење покреће лажну датотеку прерушену у обичну Lightshot динамичку библиотеку (DLL). Оригинална Lightshot апликација затим учитава ову лажну DLL, несвесно извршавајући нападачев код.
Једном активан, злонамерни DLL покреће скривену PowerShell команду за преузимање додатног корисног оптерећења. Ова секундарна компонента је одговорна за убризгавање и активирање Evelyn крадљивца информација.
Процена утицаја и ризика на безбедност
Евелин представља претњу високог ризика због своје прикривености, широког опсега прикупљања података и јаких техника избегавања. Његов фокус на податке прегледача, системску интелигенцију и криптовалуте чини инфекције посебно опасним. Компромитовање од стране овог крадљивца може довести до финансијских губитака, преузимања налога и крађе идентитета, што наглашава важност јаке заштите крајњих тачака, опрезних пракси инсталације екстензија и континуираног праћења аномалног понашања система.
