伊芙琳·斯蒂勒
Evelyn 是一款复杂的恶意软件,旨在悄无声息地收集敏感数据,同时主动规避安全分析和检测。它的主要功能是从受感染的系统中窃取有价值的信息,并通过 FTP 将其泄露到攻击者的命令与控制 (C2) 基础设施中。
窃取者能够收集种类繁多的数据,包括已保存的浏览器凭据、剪贴板内容、Wi-Fi 密码、加密货币钱包信息以及详细的系统情报。数据收集完成后,所有被盗资料都会被压缩成 ZIP 压缩包,并传输到攻击者的 FTP 服务器。
目录
静默安装和滥用 Windows 功能
Evelyn 执行时会动态加载其运行所需的 Windows 组件,包括进程注入、文件和注册表访问、网络通信以及剪贴板监控等功能。这些功能使该恶意软件能够深度集成到系统中,并实现其数据窃取目标。
为了保持隐蔽,伊芙琳经过精心设计,能够躲避人工和自动分析。在完全激活之前,它会评估周围环境,以确定自身是否正被监视。
内置分析和沙箱规避
Evelyn采用多种反分析技术来检测虚拟机、调试器以及安全或研究工具。只有在确认系统看起来是真实的用户环境后,它才会继续执行。
在这个阶段,恶意软件会在用户的 AppData 文件夹中创建自己的目录,用于存储收集到的信息和支持文件。
激进的浏览器定向和进程操控
该恶意软件首先收集系统中已有的浏览器数据,然后强制关闭正在运行的浏览器。这既可以防止数据冲突,又能为下一阶段(注入)做好准备。
Evelyn 需要一个特定的辅助文件来窃取浏览器登录数据。它首先检查系统 TEMP 目录中是否已存在该文件。如果不存在,它会尝试从其 FTP 服务器下载该文件。作为最后的备选方案,它会搜索恶意软件自身运行所在的目录。
一旦获取到目标文件,Evelyn 会以高度可控的方式启动目标浏览器,并秘密地将恶意组件注入其中。这使得窃取程序能够绕过浏览器的内置保护机制。为了避免引起用户或安全软件的注意,浏览器启动时会设置许多隐藏参数,例如隐藏窗口、禁用安全功能和扩展程序、阻止日志生成,以及隐藏任何浏览器已打开的痕迹。这些措施使得程序能够静默地提取浏览器数据。
扩大数据采集范围
除了浏览器之外,Evelyn 还会截取桌面屏幕截图并收集大量的系统信息,包括当前用户名、计算机名称、操作系统版本、已安装的应用程序、正在运行的进程以及 VPN 配置。该恶意软件还会主动攻击加密货币钱包、监控剪贴板并窃取已保存的 Wi-Fi 凭据。
所有收集到的信息都会被整合、压缩成 ZIP 存档,并通过 FTP 传输到攻击者的 C2 服务器。
感染载体:一款特洛伊木马化的开发者扩展
Evelyn 通过一个伪装成合法插件的恶意 Visual Studio Code 扩展程序进行传播。安装后,该扩展程序会释放一个伪装成普通 Lightshot 动态链接库 (DLL) 的恶意文件。真正的 Lightshot 应用程序随后会加载这个伪造的 DLL,从而在不知情的情况下执行攻击者的代码。
一旦激活,恶意 DLL 会启动一个隐藏的 PowerShell 命令来下载额外的有效载荷。这个辅助组件负责注入并激活 Evelyn 信息窃取程序。
安全影响和风险评估
Evelyn 具有极高的隐蔽性、广泛的数据收集范围和强大的规避技术,因此构成高风险威胁。它专注于浏览器数据、系统情报和加密货币资产,使得感染变得尤为危险。一旦遭受此窃取程序的攻击,可能导致经济损失、账户被盗用和身份盗窃,这凸显了强大的终端安全防护、谨慎的扩展程序安装实践以及持续监控异常系统行为的重要性。
