Evelyn Hırsızı
Evelyn, güvenlik analizinden ve tespitinden aktif olarak kaçınırken hassas verileri sessizce toplamak üzere tasarlanmış, gelişmiş bir bilgi hırsızlığı kötü amaçlı yazılımıdır. Birincil işlevi, enfekte sistemlerden değerli bilgileri toplamak ve bunları FTP üzerinden bir tehdit aktörünün komuta ve kontrol (C2) altyapısına sızdırmaktır.
Çalınan veriler, kaydedilmiş tarayıcı kimlik bilgileri, pano içeriği, Wi-Fi şifreleri, kripto para cüzdanı bilgileri ve ayrıntılı sistem istihbaratı da dahil olmak üzere çok çeşitli verileri toplayabilir. Toplama işlemi tamamlandıktan sonra, çalınan tüm materyaller bir ZIP arşivine sıkıştırılır ve saldırganın FTP sunucusuna iletilir.
İçindekiler
Sessiz Kurulum ve Windows Özelliklerinin Kötüye Kullanımı
Evelyn çalıştırıldığında, işlem enjeksiyonu, dosya ve kayıt defteri erişimi, ağ iletişimi ve pano izleme işlevleri de dahil olmak üzere çalışması için ihtiyaç duyduğu Windows bileşenlerini dinamik olarak yükler. Bu özellikler, kötü amaçlı yazılımın sisteme derinlemesine entegre olmasını ve veri hırsızlığı hedeflerini desteklemesini sağlar.
Gizli kalabilmek için Evelyn, hem manuel hem de otomatik analizlerden kaçınacak şekilde tasarlanmıştır. Tamamen aktif hale gelmeden önce, incelenip incelenmediğini belirlemek için çevresini değerlendirir.
Dahili Analiz ve Sanal Ortamdan Kaçınma
Evelyn, sanal makineleri, hata ayıklayıcıları ve güvenlik veya araştırma araçlarını tespit etmek için birden fazla analiz karşıtı teknik kullanır. Sistemin gerçek bir kullanıcı ortamı olduğu doğrulandıktan sonra işleme devam eder.
Bu aşamada, kötü amaçlı yazılım kullanıcının AppData klasörü içinde kendi dizinlerini oluşturur ve bu dizinleri topladığı bilgileri ve destekleyici dosyaları depolamak için kullanır.
Agresif Tarayıcı Hedefleme ve Süreç Manipülasyonu
Kötü amaçlı yazılım, sistemde zaten mevcut olan tüm tarayıcı verilerini toplayarak işe başlar ve ardından çalışan tarayıcıları zorla kapatır. Bu, hem veri çakışmalarını önler hem de bir sonraki aşama olan enjeksiyon için ortamı hazırlar.
Evelyn, tarayıcı oturum açma verilerini çalmak için belirli bir yardımcı dosyaya ihtiyaç duyar. İlk olarak, bu dosyanın sistemin TEMP dizininde zaten mevcut olup olmadığını kontrol eder. Mevcut değilse, dosyayı FTP sunucusundan indirmeye çalışır. Son çare olarak, kötü amaçlı yazılımın kendisinin çalıştığı dizini arar.
Dosya elde edildikten sonra, Evelyn hedef tarayıcıyı son derece kontrollü bir şekilde başlatır ve kötü amaçlı bileşeni gizlice içine yerleştirir. Bu, hırsızın yerleşik tarayıcı korumalarını atlamasına olanak tanır. Kullanıcıyı veya güvenlik yazılımını uyarmamak için, tarayıcı, pencereleri gizleyen, güvenlik özelliklerini ve uzantılarını devre dışı bırakan, günlük oluşturmayı engelleyen ve tarayıcının açıldığına dair görünür işaretleri gizleyen çok sayıda gizli parametreyle başlatılır. Bu önlemler, tarayıcı verilerinin sessizce çıkarılmasını sağlar.
Veri Toplama İşlemlerini Genişletme
Evelyn, tarayıcıların ötesinde, masaüstünün ekran görüntülerini yakalar ve mevcut kullanıcı adı, bilgisayar adı, işletim sistemi sürümü, yüklü uygulamalar, çalışan işlemler ve VPN yapılandırmaları dahil olmak üzere kapsamlı sistem ayrıntılarını derler. Kötü amaçlı yazılım ayrıca aktif olarak kripto para cüzdanlarını hedef alır, panoyu izler ve kaydedilmiş Wi-Fi kimlik bilgilerini alır.
Toplanan tüm bilgiler bir araya getirilerek ZIP arşivine sıkıştırılır ve FTP aracılığıyla saldırganın C2 sunucusuna sızdırılır.
Bulaşma Vektörü: Truva Atı Bulaştırılmış Bir Geliştirici Eklentisi
Evelyn, meşru bir eklenti gibi görünen kötü amaçlı bir Visual Studio Code uzantısı aracılığıyla dağıtılıyor. Yüklendiğinde, bu uzantı normal bir Lightshot dinamik bağlantı kütüphanesi (DLL) gibi gizlenmiş sahte bir dosya bırakıyor. Ardından gerçek Lightshot uygulaması bu sahte DLL'yi yüklüyor ve farkında olmadan saldırganın kodunu çalıştırıyor.
Etkin hale geldiğinde, zararlı DLL ek bir zararlı yazılım indirmek için gizli bir PowerShell komutu çalıştırır. Bu ikincil bileşen, Evelyn bilgi hırsızını enjekte etmek ve etkinleştirmekten sorumludur.
Güvenlik Etkisi ve Risk Değerlendirmesi
Evelyn, gizliliği, geniş veri toplama kapsamı ve güçlü kaçınma teknikleri nedeniyle yüksek riskli bir tehdit oluşturmaktadır. Tarayıcı verilerine, sistem istihbaratına ve kripto para varlıklarına odaklanması, enfeksiyonları özellikle tehlikeli hale getirmektedir. Bu hırsız tarafından ele geçirilme, finansal kayıplara, hesap ele geçirilmesine ve kimlik hırsızlığına yol açabilir; bu da güçlü uç nokta korumasının, dikkatli eklenti yükleme uygulamalarının ve anormal sistem davranışları için sürekli izlemenin önemini vurgulamaktadır.
