Evelyn Stealer
Evelyn ist eine hochentwickelte Malware zum Informationsdiebstahl, die entwickelt wurde, um unbemerkt sensible Daten zu sammeln und dabei aktiv Sicherheitsanalysen und -erkennung zu umgehen. Ihre Hauptfunktion besteht darin, wertvolle Informationen von infizierten Systemen zu extrahieren und diese per FTP an die Command-and-Control-Infrastruktur (C2) eines Angreifers zu übertragen.
Der Angreifer kann eine Vielzahl von Daten sammeln, darunter gespeicherte Browser-Anmeldeinformationen, Inhalte der Zwischenablage, WLAN-Passwörter, Informationen zu Kryptowährungs-Wallets und detaillierte Systeminformationen. Nach der vollständigen Erfassung werden alle gestohlenen Daten in einem ZIP-Archiv komprimiert und an den FTP-Server des Angreifers übertragen.
Inhaltsverzeichnis
Stille Installation und Missbrauch von Windows-Funktionen
Bei der Ausführung lädt Evelyn dynamisch die für den Betrieb benötigten Windows-Komponenten, darunter Funktionen zur Prozessinjektion, zum Datei- und Registrierungszugriff, zur Netzwerkkommunikation und zur Überwachung der Zwischenablage. Diese Funktionen ermöglichen es der Malware, sich tief in das System zu integrieren und ihre Ziele des Datendiebstahls zu unterstützen.
Um unentdeckt zu bleiben, ist Evelyn so konstruiert, dass sie sowohl manuelle als auch automatisierte Analysen umgeht. Bevor sie vollständig aktiviert wird, analysiert sie ihre Umgebung, um festzustellen, ob sie untersucht wird.
Eingebaute Analyse- und Sandbox-Umgehung
Evelyn verwendet verschiedene Anti-Analyse-Techniken, um virtuelle Maschinen, Debugger und Sicherheits- oder Forschungswerkzeuge zu erkennen. Erst nachdem bestätigt wurde, dass es sich bei dem System um eine authentische Benutzerumgebung handelt, wird der Vorgang fortgesetzt.
In diesem Stadium erstellt die Malware eigene Verzeichnisse im AppData-Ordner des Benutzers, in denen sie gesammelte Informationen und zugehörige Dateien speichert.
Aggressives Browser-Targeting und Prozessmanipulation
Die Schadsoftware sammelt zunächst alle bereits auf dem System vorhandenen Browserdaten und schließt anschließend alle laufenden Browser zwangsweise. Dies verhindert Datenkonflikte und bereitet die Umgebung für die nächste Phase vor: die Einschleusung.
Evelyn benötigt eine spezielle Hilfsdatei, um Browser-Anmeldedaten zu stehlen. Zunächst prüft es, ob diese Datei bereits im TEMP-Verzeichnis des Systems vorhanden ist. Falls nicht, versucht es, die Datei von seinem FTP-Server herunterzuladen. Als letzte Möglichkeit durchsucht es das Verzeichnis, in dem die Schadsoftware selbst ausgeführt wird.
Sobald die Datei beschafft ist, startet Evelyn den Zielbrowser kontrolliert und schleust die Schadsoftware unbemerkt ein. Dadurch kann der Angreifer die integrierten Browserschutzmechanismen umgehen. Um weder den Benutzer noch Sicherheitssoftware zu alarmieren, wird der Browser mit zahlreichen verborgenen Parametern gestartet. Diese unterdrücken Fenster, deaktivieren Sicherheitsfunktionen und -erweiterungen, verhindern die Protokollierung und verbergen alle sichtbaren Spuren der Browsernutzung. So können Browserdaten unbemerkt extrahiert werden.
Erweiterung der Datenerfassung
Neben Browsern erstellt Evelyn Screenshots des Desktops und sammelt umfangreiche Systeminformationen, darunter den aktuellen Benutzernamen, den Computernamen, die Betriebssystemversion, installierte Anwendungen, laufende Prozesse und VPN-Konfigurationen. Die Malware zielt außerdem aktiv auf Kryptowährungs-Wallets ab, überwacht die Zwischenablage und ruft gespeicherte WLAN-Zugangsdaten ab.
Alle gesammelten Informationen werden zusammengeführt, in einem ZIP-Archiv komprimiert und per FTP an den C2-Server des Angreifers übertragen.
Infektionsvektor: Eine trojanisierte Entwicklererweiterung
Evelyn wird über eine schädliche Visual Studio Code-Erweiterung verbreitet, die sich als legitimes Add-on ausgibt. Nach der Installation legt diese Erweiterung eine manipulierte Datei ab, die als normale Lightshot-DLL getarnt ist. Die echte Lightshot-Anwendung lädt dann diese gefälschte DLL und führt so unwissentlich den Code des Angreifers aus.
Sobald die schädliche DLL aktiv ist, startet sie einen versteckten PowerShell-Befehl, um eine zusätzliche Nutzlast herunterzuladen. Diese zweite Komponente ist für das Einschleusen und Aktivieren des Evelyn-Informationsdiebstahlprogramms verantwortlich.
Sicherheitsauswirkungs- und Risikobewertung
Evelyn stellt aufgrund seiner Heimlichkeit, des umfassenden Datenerfassungsumfangs und seiner ausgefeilten Verschleierungstechniken eine hohe Bedrohung dar. Der Fokus auf Browserdaten, Systeminformationen und Kryptowährungen macht Infektionen besonders gefährlich. Ein Angriff durch diesen Schadsoftware kann zu finanziellen Verlusten, Kontoübernahmen und Identitätsdiebstahl führen. Daher ist ein starker Endpunktschutz, die sorgfältige Installation von Erweiterungen und die kontinuierliche Überwachung auf ungewöhnliches Systemverhalten unerlässlich.
