伊芙琳·史提勒
Evelyn 是一款複雜的惡意軟體,旨在悄無聲息地收集敏感數據,同時主動規避安全分析和偵測。它的主要功能是從受感染的系統中竊取有價值的信息,並透過 FTP 將其洩露到攻擊者的命令與控制 (C2) 基礎設施中。
竊取者能夠收集種類繁多的數據,包括已保存的瀏覽器憑證、剪貼簿內容、Wi-Fi 密碼、加密貨幣錢包資訊以及詳細的系統情報。資料收集完成後,所有被盜資料都會被壓縮成 ZIP 壓縮包,並傳輸到攻擊者的 FTP 伺服器。
目錄
靜默安裝與濫用 Windows 功能
Evelyn 執行時會動態載入其運作所需的 Windows 元件,包括進程注入、檔案和登錄機碼存取、網路通訊以及剪貼簿監控等功能。這些功能使該惡意軟體能夠深度整合到系統中,並實現其資料竊取目標。
為了保持隱蔽,伊芙琳經過精心設計,能夠躲避人工和自動分析。在完全啟動之前,它會評估周圍環境,以確定自身是否正被監視。
內建分析和沙箱規避
Evelyn採用多種反分析技術來偵測虛擬機器、調試器以及安全或研究工具。只有在確認系統看起來是真實的使用者環境後,它才會繼續執行。
在這個階段,惡意軟體會在使用者的 AppData 資料夾中建立自己的目錄,用於儲存收集到的資訊和支援檔案。
激進的瀏覽器定向與進程操控
該惡意軟體首先收集系統中已有的瀏覽器數據,然後強制關閉正在執行的瀏覽器。這不僅可以防止資料衝突,也能為下一階段(注入)做好準備。
Evelyn 需要一個特定的輔助檔案來竊取瀏覽器登入資料。它首先檢查系統 TEMP 目錄中是否已存在該檔案。如果不存在,它會嘗試從其 FTP 伺服器下載該檔案。作為最後的替代方案,它會搜尋惡意軟體本身運作所在的目錄。
一旦取得目標文件,Evelyn 會以高度可控的方式啟動目標瀏覽器,並秘密地將惡意元件注入其中。這使得竊取程式能夠繞過瀏覽器的內建保護機制。為了避免引起使用者或安全軟體的注意,瀏覽器啟動時會設定許多隱藏參數,例如隱藏視窗、停用安全功能和擴充功能、阻止日誌生成,以及隱藏任何瀏覽器已開啟的痕跡。這些措施使得程式能夠靜默地提取瀏覽器資料。
擴大數據採集範圍
除了瀏覽器之外,Evelyn 還會截取桌面螢幕截圖並收集大量的系統信息,包括當前使用者名稱、電腦名稱、作業系統版本、已安裝的應用程式、正在運行的進程以及 VPN 配置。該惡意軟體還會主動攻擊加密貨幣錢包、監控剪貼簿並竊取已保存的 Wi-Fi 憑證。
所有收集到的資訊都會被整合、壓縮成 ZIP 存檔,並透過 FTP 傳輸到攻擊者的 C2 伺服器。
感染載體:一款特洛伊木馬化的開發者擴展
Evelyn 透過一個偽裝成合法插件的惡意 Visual Studio Code 擴充功能傳播。安裝後,該擴充功能會釋放一個偽裝成普通 Lightshot 動態連結程式庫 (DLL) 的惡意檔案。真正的 Lightshot 應用程式隨後會載入這個偽造的 DLL,從而在不知情的情況下執行攻擊者的程式碼。
一旦被激活,惡意 DLL 會啟動一個隱藏的 PowerShell 命令來下載額外的有效載荷。這個輔助組件負責注入並啟動 Evelyn 資訊竊取程式。
安全影響與風險評估
Evelyn 具有極高的隱藏性、廣泛的資料收集範圍和強大的規避技術,因此構成高風險威脅。它專注於瀏覽器資料、系統情報和加密貨幣資產,使得感染過程特別危險。一旦遭受此竊取程序的攻擊,可能導致經濟損失、帳戶被盜用和身份盜竊,這凸顯了強大的終端安全防護、謹慎的擴展程序安裝實踐以及持續監控異常系統行為的重要性。
