เอเวอลิน สตีลเลอร์
Evelyn เป็นมัลแวร์ขโมยข้อมูลที่ซับซ้อน สร้างขึ้นเพื่อรวบรวมข้อมูลสำคัญอย่างเงียบๆ โดยหลีกเลี่ยงการวิเคราะห์และการตรวจจับด้านความปลอดภัยอย่างมีประสิทธิภาพ หน้าที่หลักของมันคือการเก็บเกี่ยวข้อมูลที่มีค่าจากระบบที่ติดเชื้อและส่งออกไปยังโครงสร้างพื้นฐานการควบคุมและสั่งการ (C2) ของผู้คุกคามผ่านทาง FTP
โปรแกรมแฮ็กเกอร์นี้สามารถรวบรวมข้อมูลได้หลากหลายประเภท รวมถึงข้อมูลประจำตัวเบราว์เซอร์ที่บันทึกไว้ เนื้อหาในคลิปบอร์ด รหัสผ่าน Wi-Fi ข้อมูลกระเป๋าเงินคริปโตเคอร์เรนซี และข้อมูลระบบโดยละเอียด เมื่อรวบรวมข้อมูลเสร็จแล้ว ข้อมูลที่ถูกขโมยทั้งหมดจะถูกบีบอัดเป็นไฟล์ ZIP และส่งไปยังเซิร์ฟเวอร์ FTP ของผู้โจมตี
สารบัญ
การติดตั้งแบบเงียบๆ และการใช้ความสามารถของ Windows ในทางที่ผิด
เมื่อถูกเรียกใช้งาน Evelyn จะโหลดส่วนประกอบของ Windows ที่จำเป็นสำหรับการทำงานโดยอัตโนมัติ ซึ่งรวมถึงฟังก์ชันสำหรับการแทรกกระบวนการ การเข้าถึงไฟล์และรีจิสทรี การสื่อสารผ่านเครือข่าย และการตรวจสอบคลิปบอร์ด ความสามารถเหล่านี้ช่วยให้มัลแวร์สามารถแทรกซึมเข้าไปในระบบได้อย่างลึกซึ้งและสนับสนุนเป้าหมายในการขโมยข้อมูล
เพื่อรักษาความลับ อีฟลินได้รับการออกแบบมาให้หลบเลี่ยงการวิเคราะห์ทั้งด้วยตนเองและโดยอัตโนมัติ ก่อนที่จะเปิดใช้งานอย่างเต็มรูปแบบ มันจะประเมินสภาพแวดล้อมเพื่อพิจารณาว่ากำลังถูกตรวจสอบอยู่หรือไม่
การวิเคราะห์ในตัวและการหลีกเลี่ยงแซนด์บ็อกซ์
Evelyn ใช้เทคนิคต่อต้านการวิเคราะห์หลายวิธีเพื่อตรวจจับเครื่องเสมือน โปรแกรมดีบักเกอร์ และเครื่องมือรักษาความปลอดภัยหรือเครื่องมือวิจัย มันจะดำเนินการต่อก็ต่อเมื่อยืนยันแล้วว่าระบบนั้นเป็นสภาพแวดล้อมของผู้ใช้จริง
ในขั้นตอนนี้ มัลแวร์จะสร้างไดเร็กทอรีของตัวเองภายในโฟลเดอร์ AppData ของผู้ใช้ ซึ่งมันจะใช้ในการจัดเก็บข้อมูลที่เก็บรวบรวมได้และไฟล์สนับสนุนต่างๆ
การกำหนดเป้าหมายเบราว์เซอร์เชิงรุกและการจัดการกระบวนการ
มัลแวร์จะเริ่มต้นด้วยการรวบรวมข้อมูลเบราว์เซอร์ที่มีอยู่แล้วในระบบ จากนั้นจะปิดเบราว์เซอร์ที่กำลังทำงานอยู่โดยบังคับ ซึ่งจะช่วยป้องกันความขัดแย้งของข้อมูลและเตรียมสภาพแวดล้อมสำหรับขั้นตอนต่อไป นั่นคือ การแทรกซึม
Evelyn ต้องการไฟล์เสริมเฉพาะเพื่อขโมยข้อมูลการเข้าสู่ระบบเบราว์เซอร์ โดยจะตรวจสอบก่อนว่าไฟล์นี้มีอยู่ในไดเร็กทอรี TEMP ของระบบแล้วหรือไม่ หากไม่มี มันจะพยายามดาวน์โหลดไฟล์จากเซิร์ฟเวอร์ FTP ของมัน และหากยังไม่ได้ผล มันจะค้นหาในไดเร็กทอรีที่มัลแวร์กำลังทำงานอยู่
เมื่อได้ไฟล์มาแล้ว อีฟลินจะเปิดเบราว์เซอร์เป้าหมายด้วยวิธีการควบคุมอย่างเข้มงวด และแทรกส่วนประกอบที่เป็นอันตรายเข้าไปอย่างลับๆ วิธีนี้ทำให้ผู้ขโมยสามารถหลีกเลี่ยงการป้องกันในตัวของเบราว์เซอร์ได้ เพื่อไม่ให้ผู้ใช้หรือซอฟต์แวร์รักษาความปลอดภัยรู้ตัว เบราว์เซอร์จะเริ่มต้นด้วยพารามิเตอร์ที่ซ่อนไว้มากมาย ซึ่งจะปิดหน้าต่าง ปิดใช้งานคุณสมบัติและส่วนขยายด้านความปลอดภัย ป้องกันการสร้างบันทึก และซ่อนสัญญาณใดๆ ที่แสดงว่าเบราว์เซอร์ถูกเปิดขึ้น มาตรการเหล่านี้ทำให้สามารถดึงข้อมูลจากเบราว์เซอร์ได้อย่างเงียบๆ
การขยายขอบเขตการเก็บรวบรวมข้อมูลเพิ่มเติม
นอกเหนือจากเบราว์เซอร์แล้ว Evelyn ยังจับภาพหน้าจอเดสก์ท็อปและรวบรวมรายละเอียดระบบอย่างละเอียด รวมถึงชื่อผู้ใช้ปัจจุบัน ชื่อคอมพิวเตอร์ เวอร์ชันระบบปฏิบัติการ แอปพลิเคชันที่ติดตั้ง กระบวนการที่กำลังทำงาน และการกำหนดค่า VPN มัลแวร์นี้ยังมุ่งเป้าไปที่กระเป๋าเงินดิจิทัล ตรวจสอบคลิปบอร์ด และดึงข้อมูลประจำตัว Wi-Fi ที่บันทึกไว้ด้วย
ข้อมูลทั้งหมดที่รวบรวมได้จะถูกรวบรวม บีบอัดเป็นไฟล์ ZIP และส่งออกไปยังเซิร์ฟเวอร์ C2 ของผู้โจมตีผ่านทาง FTP
เวกเตอร์การติดเชื้อ: ส่วนขยายสำหรับนักพัฒนาที่แฝงด้วยมัลแวร์
Evelyn ถูกเผยแพร่ผ่านส่วนขยาย Visual Studio Code ที่เป็นอันตราย ซึ่งปลอมตัวเป็นส่วนเสริมที่ถูกต้อง เมื่อติดตั้งแล้ว ส่วนขยายนี้จะปล่อยไฟล์ที่เป็นอันตรายซึ่งปลอมตัวเป็นไลบรารีแบบไดนามิก (DLL) ของ Lightshot ปกติ จากนั้นแอปพลิเคชัน Lightshot ของแท้จะโหลด DLL ปลอมนี้ โดยไม่รู้ตัวว่ากำลังเรียกใช้โค้ดของผู้โจมตี
เมื่อเปิดใช้งานแล้ว DLL ที่เป็นอันตรายจะเรียกใช้คำสั่ง PowerShell ที่ซ่อนอยู่เพื่อดาวน์โหลดเพย์โหลดเพิ่มเติม ส่วนประกอบรองนี้มีหน้าที่ในการแทรกและเปิดใช้งานโปรแกรมขโมยข้อมูล Evelyn
การประเมินผลกระทบและความเสี่ยงด้านความปลอดภัย
Evelyn เป็นภัยคุกคามที่มีความเสี่ยงสูงเนื่องจากมีลักษณะการทำงานที่ซ่อนเร้น ครอบคลุมการเก็บรวบรวมข้อมูลในวงกว้าง และมีเทคนิคการหลบเลี่ยงที่แข็งแกร่ง การมุ่งเน้นไปที่ข้อมูลจากเบราว์เซอร์ ข้อมูลอัจฉริยะของระบบ และสินทรัพย์คริปโตเคอร์เรนซี ทำให้การติดเชื้อมีความอันตรายเป็นพิเศษ การถูกโจมตีโดยมัลแวร์นี้อาจส่งผลให้เกิดความสูญเสียทางการเงิน การถูกยึดบัญชี และการขโมยข้อมูลส่วนบุคคล ซึ่งเน้นย้ำถึงความสำคัญของการป้องกันปลายทางที่แข็งแกร่ง การติดตั้งส่วนขยายอย่างระมัดระวัง และการตรวจสอบพฤติกรรมของระบบที่ผิดปกติอย่างต่อเนื่อง
