Evelyn Stealer
Ang Evelyn ay isang sopistikadong malware na nagnanakaw ng impormasyon na ginawa upang tahimik na mangalap ng sensitibong data habang aktibong iniiwasan ang pagsusuri at pagtuklas ng seguridad. Ang pangunahing tungkulin nito ay ang mangalap ng mahahalagang impormasyon mula sa mga nahawaang sistema at ilipat ito sa command-and-control (C2) infrastructure ng isang threat actor sa pamamagitan ng FTP.
Ang magnanakaw ay may kakayahang mangolekta ng malawak na hanay ng datos, kabilang ang mga naka-save na kredensyal sa browser, mga nilalaman ng clipboard, mga password ng Wi-Fi, impormasyon ng cryptocurrency wallet, at detalyadong impormasyon sa sistema. Kapag nakumpleto na ang pagsasama-sama, lahat ng ninakaw na materyal ay ini-compress sa isang ZIP archive at ipinapadala sa FTP server ng umaatake.
Talaan ng mga Nilalaman
Tahimik na Pag-setup at Pag-abuso sa mga Kakayahan ng Windows
Kapag pinatakbo, dynamic na nilo-load ng Evelyn ang mga bahagi ng Windows na kailangan nito para gumana, kabilang ang functionality para sa process injection, pag-access sa file at registry, komunikasyon sa network, at pagsubaybay sa clipboard. Ang mga kakayahang ito ay nagbibigay-daan sa malware na lubos na maisama sa system at suportahan ang mga layunin nito sa pagnanakaw ng data.
Para manatiling lihim, ginawa si Evelyn para maiwasan ang parehong manu-mano at awtomatikong pagsusuri. Bago ganap na i-activate, sinusuri nito ang kapaligiran nito upang matukoy kung ito ay sinusuri.
Built-In na Pagsusuri at Pag-iwas sa Sandbox
Gumagamit si Evelyn ng iba't ibang pamamaraan ng anti-analysis upang matukoy ang mga virtual machine, debugger, at mga tool sa seguridad o pananaliksik. Pagkatapos lamang makumpirma na ang sistema ay tila isang tunay na kapaligiran ng gumagamit saka lamang ito magpapatuloy.
Sa yugtong iyon, ang malware ay lumilikha ng sarili nitong mga direktoryo sa loob ng folder ng AppData ng user, na ginagamit nito upang mag-imbak ng nakuha na impormasyon at mga sumusuportang file.
Agresibong Pag-target sa Browser at Manipulasyon ng Proseso
Nagsisimula ang malware sa pamamagitan ng pagkolekta ng anumang data ng browser na nasa system na at pagkatapos ay sapilitang isinasara ang mga tumatakbong browser. Pinipigilan nito ang mga conflict ng data at inihahanda ang kapaligiran para sa susunod na yugto: ang pag-inject.
Nangangailangan si Evelyn ng isang partikular na auxiliary file upang nakawin ang data sa pag-login sa browser. Sinusuri muna nito kung umiiral na ang file na ito sa direktoryo ng TEMP ng system. Kung hindi, susubukan nitong i-download ang file mula sa FTP server nito. Bilang pangwakas na tulong, hinahanap nito ang direktoryo kung saan tumatakbo ang malware mismo.
Kapag nakuha na ang file, inilulunsad ni Evelyn ang target na browser sa isang kontroladong paraan at palihim na inilalagay ang malisyosong component dito. Nagbibigay-daan ito sa magnanakaw na malampasan ang mga built-in na proteksyon ng browser. Upang maiwasan ang pag-alerto sa user o security software, sinisimulan ang browser gamit ang maraming nakatagong parameter na pumipigil sa mga window, hindi pinapagana ang mga security feature at extension, pinipigilan ang paggawa ng log, at itinatago ang anumang nakikitang senyales na binuksan ang browser. Ang mga hakbang na ito ay nagbibigay-daan sa tahimik na pagkuha ng data ng browser.
Pagpapalawak ng Pag-aani ng Datos
Bukod sa mga browser, kumukuha rin si Evelyn ng mga screenshot ng desktop at nag-iipon ng malawak na detalye ng system, kabilang ang kasalukuyang username, pangalan ng computer, bersyon ng operating system, mga naka-install na application, mga prosesong tumatakbo, at mga configuration ng VPN. Aktibo ring tinatarget ng malware ang mga cryptocurrency wallet, sinusubaybayan ang clipboard, at kinukuha ang mga naka-save na Wi-Fi credential.
Ang lahat ng nakalap na impormasyon ay pinagsasama-sama, kino-compress sa isang ZIP archive, at inilalabas sa C2 server ng attacker sa pamamagitan ng FTP.
Vector ng Impeksyon: Isang Extension ng Developer na Na-Trojanize
Ang Evelyn ay ipinamamahagi sa pamamagitan ng isang malisyosong Visual Studio Code extension na nagpapanggap na isang lehitimong add-on. Kapag na-install, ang extension na ito ay naglalabas ng isang rogue file na nagkukunwaring isang normal na Lightshot dynamic-link library (DLL). Pagkatapos ay nilo-load ng tunay na Lightshot application ang pekeng DLL na ito, at hindi namamalayang isinasagawa ang code ng attacker.
Kapag aktibo na, ang malisyosong DLL ay maglulunsad ng isang nakatagong command na PowerShell upang mag-download ng karagdagang payload. Ang pangalawang component na ito ang responsable sa pag-inject at pag-activate ng Evelyn information stealer.
Epekto sa Seguridad at Pagtatasa ng Panganib
Ang Evelyn ay kumakatawan sa isang banta na may mataas na panganib dahil sa pagiging palihim, malawak na saklaw ng pangongolekta ng datos, at matibay na mga pamamaraan ng pag-iwas. Ang pagtuon nito sa datos ng browser, katalinuhan ng sistema, at mga asset ng cryptocurrency ay nagpapalala sa mga impeksyon. Ang kompromiso ng magnanakaw na ito ay maaaring magresulta sa mga pagkalugi sa pananalapi, pagkuha ng account, at pagnanakaw ng pagkakakilanlan, na nagbibigay-diin sa kahalagahan ng matibay na proteksyon ng endpoint, maingat na mga kasanayan sa pag-install ng extension, at patuloy na pagsubaybay para sa mga hindi pangkaraniwang pag-uugali ng sistema.
