Evelyn Kẻ Trộm
Evelyn là một phần mềm độc hại tinh vi chuyên đánh cắp thông tin, được thiết kế để thu thập dữ liệu nhạy cảm một cách âm thầm đồng thời chủ động tránh bị phân tích và phát hiện bởi các hệ thống bảo mật. Chức năng chính của nó là thu thập thông tin có giá trị từ các hệ thống bị nhiễm và chuyển chúng đến cơ sở hạ tầng điều khiển (C2) của kẻ tấn công thông qua giao thức FTP.
Kẻ đánh cắp dữ liệu có khả năng thu thập nhiều loại dữ liệu, bao gồm thông tin đăng nhập trình duyệt đã lưu, nội dung clipboard, mật khẩu Wi-Fi, thông tin ví tiền điện tử và thông tin chi tiết về hệ thống. Sau khi thu thập xong, tất cả dữ liệu bị đánh cắp sẽ được nén vào một tệp lưu trữ ZIP và truyền đến máy chủ FTP của kẻ tấn công.
Mục lục
Cài đặt ngầm và lạm dụng các tính năng của Windows
Khi được thực thi, Evelyn tự động tải các thành phần Windows cần thiết để hoạt động, bao gồm chức năng tiêm mã độc vào tiến trình, truy cập tập tin và registry, giao tiếp mạng và giám sát clipboard. Những khả năng này cho phép phần mềm độc hại tích hợp sâu vào hệ thống và hỗ trợ các mục tiêu đánh cắp dữ liệu của nó.
Để duy trì tính bí mật, Evelyn được thiết kế để tránh cả phân tích thủ công và tự động. Trước khi kích hoạt hoàn toàn, nó đánh giá môi trường xung quanh để xác định xem có đang bị theo dõi hay không.
Phân tích tích hợp và né tránh môi trường thử nghiệm
Evelyn sử dụng nhiều kỹ thuật chống phân tích để phát hiện máy ảo, trình gỡ lỗi và các công cụ bảo mật hoặc nghiên cứu. Chỉ sau khi xác nhận hệ thống dường như là môi trường người dùng thực sự, nó mới tiếp tục.
Ở giai đoạn đó, phần mềm độc hại tạo ra các thư mục riêng trong thư mục AppData của người dùng, mà nó sử dụng để lưu trữ thông tin thu thập được và các tệp hỗ trợ.
Tấn công nhắm mục tiêu trình duyệt và thao túng quy trình một cách hung hăng
Phần mềm độc hại bắt đầu bằng cách thu thập mọi dữ liệu trình duyệt đã có sẵn trên hệ thống, sau đó buộc đóng các trình duyệt đang chạy. Điều này vừa ngăn ngừa xung đột dữ liệu vừa chuẩn bị môi trường cho giai đoạn tiếp theo: tiêm mã độc.
Evelyn cần một tập tin phụ trợ cụ thể để đánh cắp dữ liệu đăng nhập trình duyệt. Đầu tiên, nó kiểm tra xem tập tin này đã tồn tại trong thư mục TEMP của hệ thống hay chưa. Nếu chưa, nó sẽ cố gắng tải xuống tập tin từ máy chủ FTP của mình. Phương án cuối cùng là tìm kiếm trong thư mục mà phần mềm độc hại đang chạy.
Sau khi lấy được tập tin, Evelyn khởi chạy trình duyệt mục tiêu một cách được kiểm soát chặt chẽ và bí mật chèn thành phần độc hại vào đó. Điều này cho phép phần mềm đánh cắp dữ liệu vượt qua các biện pháp bảo vệ tích hợp của trình duyệt. Để tránh cảnh báo người dùng hoặc phần mềm bảo mật, trình duyệt được khởi động với nhiều tham số ẩn nhằm ngăn chặn việc mở cửa sổ, vô hiệu hóa các tính năng bảo mật và tiện ích mở rộng, ngăn chặn việc tạo nhật ký và che giấu bất kỳ dấu hiệu nào cho thấy trình duyệt đã được mở. Những biện pháp này cho phép trích xuất dữ liệu trình duyệt một cách âm thầm.
Mở rộng việc thu thập dữ liệu
Ngoài việc tác động đến trình duyệt, Evelyn còn chụp ảnh màn hình máy tính và thu thập thông tin chi tiết về hệ thống, bao gồm tên người dùng hiện tại, tên máy tính, phiên bản hệ điều hành, các ứng dụng đã cài đặt, các tiến trình đang chạy và cấu hình VPN. Phần mềm độc hại này cũng chủ động nhắm mục tiêu vào ví tiền điện tử, theo dõi bộ nhớ tạm và lấy thông tin đăng nhập Wi-Fi đã lưu.
Tất cả thông tin thu thập được sẽ được tổng hợp, nén vào tệp lưu trữ ZIP và chuyển đến máy chủ C2 của kẻ tấn công thông qua FTP.
Vector lây nhiễm: Một tiện ích mở rộng dành cho nhà phát triển bị nhiễm mã độc Trojan
Evelyn được phát tán thông qua một tiện ích mở rộng độc hại của Visual Studio Code, giả danh là một tiện ích bổ sung hợp pháp. Khi được cài đặt, tiện ích mở rộng này sẽ thả một tập tin độc hại được ngụy trang thành thư viện liên kết động (DLL) Lightshot thông thường. Ứng dụng Lightshot chính hãng sau đó sẽ tải DLL giả mạo này, vô tình thực thi mã của kẻ tấn công.
Sau khi được kích hoạt, DLL độc hại sẽ chạy một lệnh PowerShell ẩn để tải xuống một payload bổ sung. Thành phần phụ này chịu trách nhiệm tiêm và kích hoạt phần mềm đánh cắp thông tin Evelyn.
Đánh giá tác động và rủi ro an ninh
Evelyn là mối đe dọa có rủi ro cao do khả năng hoạt động lén lút, phạm vi thu thập dữ liệu rộng và các kỹ thuật né tránh mạnh mẽ. Việc tập trung vào dữ liệu trình duyệt, thông tin hệ thống và tài sản tiền điện tử khiến nó trở nên đặc biệt nguy hiểm. Việc bị phần mềm độc hại này xâm nhập có thể dẫn đến tổn thất tài chính, chiếm đoạt tài khoản và đánh cắp danh tính, nhấn mạnh tầm quan trọng của việc bảo vệ điểm cuối mạnh mẽ, thực hành cài đặt tiện ích mở rộng cẩn trọng và giám sát liên tục các hành vi bất thường của hệ thống.
