Evelyn Stealer
Evelyn är en sofistikerad informationsstöldande skadlig kod som är utformad för att i tysthet samla in känslig data samtidigt som den aktivt undviker säkerhetsanalys och upptäckt. Dess primära funktion är att samla in värdefull information från infekterade system och föra den till en hotaktörs kommando- och kontrollinfrastruktur (C2) via FTP.
Stjälen kan samla in en mängd olika data, inklusive sparade webbläsaruppgifter, innehåll i urklipp, Wi-Fi-lösenord, information om kryptovalutaplånböcker och detaljerad systeminformation. När aggregeringen är klar komprimeras allt stulet material till ett ZIP-arkiv och överförs till angriparens FTP-server.
Innehållsförteckning
Tyst installation och missbruk av Windows-funktioner
När den körs laddar Evelyn dynamiskt de Windows-komponenter som behövs för att fungera, inklusive funktioner för processinjektion, fil- och registeråtkomst, nätverkskommunikation och övervakning av urklipp. Dessa funktioner gör att skadlig programvara kan integreras djupt i systemet och stödja dess mål mot datastöld.
För att förbli hemlig är Evelyn konstruerad för att undvika både manuell och automatiserad analys. Innan den aktiveras helt utvärderar den sin omgivning för att avgöra om den undersöks.
Inbyggd analys och sandlådeundvikelse
Evelyn använder flera antianalystekniker för att upptäcka virtuella maskiner, felsökare och säkerhets- eller forskningsverktyg. Först efter att ha bekräftat att systemet verkar vara en genuin användarmiljö fortsätter den.
I det skedet skapar den skadliga programvaran sina egna kataloger i användarens AppData-mapp, som den använder för att lagra insamlad information och stödjande filer.
Aggressiv webbläsarinriktning och processmanipulation
Skadlig programvara börjar med att samla in webbläsardata som redan finns i systemet och stänger sedan med kraft alla webbläsare som körs. Detta förhindrar både datakonflikter och förbereder miljön för nästa fas: injektion.
Evelyn behöver en specifik hjälpfil för att stjäla webbläsarens inloggningsdata. Den kontrollerar först om filen redan finns i systemets TEMP-katalog. Om inte, försöker den ladda ner filen från sin FTP-server. Som en sista reserv söker den i katalogen från vilken själva skadliga programvaran körs.
När filen har hämtats startar Evelyn den riktade webbläsaren på ett mycket kontrollerat sätt och injicerar i hemlighet den skadliga komponenten i den. Detta gör det möjligt för stjälaren att kringgå inbyggda webbläsarskydd. För att undvika att varna användaren eller säkerhetsprogramvaran startas webbläsaren med ett flertal dolda parametrar som undertrycker fönster, inaktiverar säkerhetsfunktioner och tillägg, förhindrar loggning och döljer synliga tecken på att webbläsaren har öppnats. Dessa åtgärder möjliggör tyst extrahering av webbläsardata.
Utöka datainsamlingen
Utöver webbläsare tar Evelyn skärmdumpar av skrivbordet och sammanställer omfattande systeminformation, inklusive aktuellt användarnamn, datornamn, operativsystemversion, installerade applikationer, processer som körs och VPN-konfigurationer. Skadlig programvara riktar sig även aktivt mot kryptovalutaplånböcker, övervakar urklipp och hämtar sparade Wi-Fi-uppgifter.
All insamlad information konsolideras, komprimeras till ett ZIP-arkiv och exfiltreras till angriparens C2-server via FTP.
Infektionsvektor: En trojaniserad utvecklartillägg
Evelyn distribueras via ett skadligt Visual Studio Code-tillägg som utger sig för att vara ett legitimt tillägg. När tillägget installeras släpper det en falsk fil förklädd till ett vanligt Lightshot dynamiskt länkbibliotek (DLL). Det äkta Lightshot-programmet laddar sedan denna falska DLL och exekverar omedvetet angriparens kod.
När den skadliga DLL-filen är aktiv startar den ett dolt PowerShell-kommando för att ladda ner ytterligare nyttolast. Denna sekundära komponent ansvarar för att injicera och aktivera informationsstjälaren Evelyn.
Säkerhetskonsekvens- och riskbedömning
Evelyn representerar ett högriskhot på grund av sin smygande förmåga, breda datainsamling och starka undvikande tekniker. Dess fokus på webbläsardata, systemintelligens och kryptovalutatillgångar gör infektioner särskilt farliga. Om denna stöld kommer till intrång kan det leda till ekonomiska förluster, kontoövertaganden och identitetsstöld, vilket understryker vikten av starkt slutpunktsskydd, försiktiga installationsmetoder för tillägg och kontinuerlig övervakning av avvikande systembeteende.
