Евелін Стілер
Evelyn — це складне шкідливе програмне забезпечення для крадіжки інформації, створене для непомітного збору конфіденційних даних, активно уникаючи аналізу та виявлення з точки зору безпеки. Його основна функція — збирати цінну інформацію із заражених систем та передавати її до інфраструктури командування та управління (C2) зловмисника через FTP.
Зловмисник здатний збирати широкий спектр даних, включаючи збережені облікові дані браузера, вміст буфера обміну, паролі Wi-Fi, інформацію про криптовалютні гаманці та детальну системну аналітику. Після завершення агрегації всі викрадені матеріали стискаються в ZIP-архів і передаються на FTP-сервер зловмисника.
Зміст
Тиха установка та зловживання можливостями Windows
Під час виконання Evelyn динамічно завантажує компоненти Windows, необхідні для роботи, включаючи функції для впровадження процесів, доступу до файлів і реєстру, мережевого зв'язку та моніторингу буфера обміну. Ці можливості дозволяють шкідливому програмному забезпеченню глибоко інтегруватися в систему та підтримувати його цілі з крадіжки даних.
Щоб залишатися прихованою, Евелін розроблена таким чином, щоб уникати як ручного, так і автоматизованого аналізу. Перед повною активацією вона оцінює своє оточення, щоб визначити, чи її досліджують.
Вбудований аналіз та уникнення пісочниці
Евелін використовує кілька методів антианалізу для виявлення віртуальних машин, налагоджувачів та інструментів безпеки чи дослідження. Тільки після підтвердження того, що система виглядає як справжнє середовище користувача, вона продовжує роботу.
На цьому етапі шкідливе програмне забезпечення створює власні каталоги в папці AppData користувача, які воно використовує для зберігання зібраної інформації та допоміжних файлів.
Агресивне таргетування браузера та маніпулювання процесами
Шкідливе програмне забезпечення починає зі збору будь-яких даних браузера, які вже є в системі, а потім примусово закриває запущені браузери. Це запобігає конфліктам даних і готує середовище до наступного етапу: ін'єкції.
Для крадіжки даних для входу в браузер Evelyn потрібен спеціальний допоміжний файл. Спочатку він перевіряє, чи цей файл вже існує в каталозі TEMP системи. Якщо ні, він намагається завантажити файл зі свого FTP-сервера. Як останній запасний варіант, він шукає в каталозі, з якого запускається саме шкідливе програмне забезпечення.
Після отримання файлу Евелін запускає цільовий браузер у суворо контрольований спосіб і приховано впроваджує в нього шкідливий компонент. Це дозволяє зловмиснику обійти вбудований захист браузера. Щоб уникнути сповіщення користувача чи програмного забезпечення безпеки, браузер запускається з численними прихованими параметрами, які пригнічують вікна, вимикають функції безпеки та розширення, запобігають створенню журналів і приховують будь-які видимі ознаки того, що браузер було відкрито. Ці заходи дозволяють непомітно витягувати дані браузера.
Розширення збору даних
Окрім браузерів, Евелін робить скріншоти робочого столу та збирає розширену інформацію про систему, включаючи поточне ім'я користувача, ім'я комп'ютера, версію операційної системи, встановлені програми, запущені процеси та конфігурації VPN. Шкідливе програмне забезпечення також активно атакує криптовалютні гаманці, моніторить буфер обміну та отримує збережені облікові дані Wi-Fi.
Вся зібрана інформація консолідується, стискається в ZIP-архів та передається на сервер C2 зловмисника через FTP.
Вектор зараження: троянське розширення розробника
Evelyn розповсюджується через шкідливе розширення Visual Studio Code, яке видає себе за легітимне доповнення. Після встановлення це розширення розміщує шахрайський файл, замаскований під звичайну динамічно-компоновану бібліотеку (DLL) Lightshot. Потім справжня програма Lightshot завантажує цю підроблену DLL, несвідомо виконуючи код зловмисника.
Після активації шкідлива DLL-бібліотека запускає приховану команду PowerShell для завантаження додаткового корисного навантаження. Цей вторинний компонент відповідає за впровадження та активацію викрадача інформації Evelyn.
Оцінка впливу на безпеку та ризиків
Evelyn являє собою загрозу високого ризику через свою прихованість, широкий охоплення збору даних та потужні методи ухилення. Його зосередженість на даних браузера, системній аналітиці та криптовалютних активах робить зараження особливо небезпечними. Компрометація цим викрадачем може призвести до фінансових втрат, захоплення облікових записів та крадіжки особистих даних, що підкреслює важливість надійного захисту кінцевих точок, обережних практик встановлення розширень та постійного моніторингу аномальної поведінки системи.
