Evelyn Stealer
Evelyn est un logiciel malveillant sophistiqué de vol d'informations, conçu pour collecter discrètement des données sensibles tout en évitant activement l'analyse et la détection de sécurité. Sa fonction principale est de récupérer des informations précieuses sur les systèmes infectés et de les exfiltrer vers l'infrastructure de commande et de contrôle (C2) d'un acteur malveillant via FTP.
Le pirate est capable de collecter un large éventail de données, notamment les identifiants de navigation enregistrés, le contenu du presse-papiers, les mots de passe Wi-Fi, les informations des portefeuilles de cryptomonnaies et des données système détaillées. Une fois la collecte terminée, toutes les données volées sont compressées dans une archive ZIP et transférées vers le serveur FTP du pirate.
Table des matières
Installation silencieuse et utilisation abusive des fonctionnalités de Windows
Lors de son exécution, Evelyn charge dynamiquement les composants Windows nécessaires à son fonctionnement, notamment les fonctionnalités d'injection de processus, d'accès aux fichiers et au registre, de communication réseau et de surveillance du presse-papiers. Ces capacités permettent au logiciel malveillant de s'intégrer profondément au système et de mener à bien ses objectifs de vol de données.
Pour rester indétectable, Evelyn est conçue pour échapper à toute analyse, manuelle ou automatisée. Avant son activation complète, elle évalue son environnement afin de déterminer si elle est observée.
Analyse intégrée et contournement du bac à sable
Evelyn utilise plusieurs techniques anti-analyse pour détecter les machines virtuelles, les débogueurs et les outils de sécurité ou de recherche. Elle ne poursuit son exécution qu'après avoir confirmé que le système semble être un environnement utilisateur authentique.
À ce stade, le logiciel malveillant crée ses propres répertoires dans le dossier AppData de l'utilisateur, qu'il utilise pour stocker les informations collectées et les fichiers associés.
Ciblage agressif des navigateurs et manipulation des processus
Le logiciel malveillant commence par collecter les données de navigation déjà présentes sur le système, puis ferme de force les navigateurs en cours d'exécution. Ceci permet d'éviter les conflits de données et de préparer l'environnement pour la phase suivante : l'injection.
Evelyn a besoin d'un fichier auxiliaire spécifique pour voler les données de connexion au navigateur. Il vérifie d'abord si ce fichier existe déjà dans le répertoire TEMP du système. Si ce n'est pas le cas, il tente de le télécharger depuis son serveur FTP. En dernier recours, il effectue une recherche dans le répertoire où le logiciel malveillant s'exécute.
Une fois le fichier obtenu, Evelyn lance le navigateur ciblé de manière très contrôlée et y injecte subrepticement le composant malveillant. Cela permet au pirate de contourner les protections intégrées du navigateur. Afin d'éviter d'alerter l'utilisateur ou les logiciels de sécurité, le navigateur est lancé avec de nombreux paramètres dissimulés qui suppriment les fenêtres, désactivent les fonctions et extensions de sécurité, empêchent la création de journaux et masquent toute trace visible d'ouverture du navigateur. Ces mesures permettent l'extraction silencieuse des données de navigation.
Élargir la collecte de données
Outre les navigateurs, Evelyn capture des captures d'écran du bureau et compile des informations système détaillées, notamment le nom d'utilisateur actuel, le nom de l'ordinateur, la version du système d'exploitation, les applications installées, les processus en cours d'exécution et les configurations VPN. Ce logiciel malveillant cible également les portefeuilles de cryptomonnaies, surveille le presse-papiers et récupère les identifiants Wi-Fi enregistrés.
Toutes les informations collectées sont consolidées, compressées dans une archive ZIP et exfiltrées vers le serveur C2 de l'attaquant via FTP.
Vecteur d'infection : une extension de développeur piégée
Evelyn est distribuée via une extension malveillante pour Visual Studio Code se faisant passer pour un module complémentaire légitime. Une fois installée, cette extension dépose un fichier malveillant déguisé en bibliothèque de liens dynamiques (DLL) Lightshot standard. L'application Lightshot authentique charge alors cette fausse DLL, exécutant ainsi, à son insu, le code malveillant.
Une fois activée, la DLL malveillante lance une commande PowerShell cachée pour télécharger une charge utile supplémentaire. Ce composant secondaire est responsable de l'injection et de l'activation du logiciel espion Evelyn.
Évaluation des impacts et des risques en matière de sécurité
Evelyn représente une menace à haut risque en raison de sa furtivité, de l'étendue de sa collecte de données et de ses techniques d'évasion sophistiquées. Son ciblage des données de navigation, des informations système et des cryptomonnaies rend les infections particulièrement dangereuses. Une compromission par ce logiciel malveillant peut entraîner des pertes financières, le piratage de comptes et l'usurpation d'identité, soulignant l'importance d'une protection renforcée des terminaux, de pratiques d'installation d'extensions prudentes et d'une surveillance continue des comportements anormaux du système.
