Вредонос Evelyn Stealer распространяется через расширения для Visual Studio Code

По данным Trend Micro, Evelyn Stealer нацелен на кражу учётных данных разработчиков, информации о криптовалютах и другой чувствительной информации. Заражение рабочей среды разработчика может также стать точкой входа для атак на более широкие корпоративные системы, особенно если затронутые специалисты имеют доступ к облачным ресурсам или продакшен-средам, пишет Securitylab.

Кампания ориентирована на тех, кто активно использует сторонние расширения для VS Code. В декабре специалисты Koi Security первыми сообщили о вредоносных надстройках BigBlack.bitcoin-black, BigBlack.codo-ai и BigBlack.mrbigblacktheme, которые устанавливали DLL-файл под названием Lightshot.dll. Он запускал скрытую команду PowerShell, которая в свою очередь загружала исполняемый файл runtime.exe. Этот компонент расшифровывал основной вредоносный модуль и внедрял его в доверенный системный процесс Windows — grpconv.exe. Таким способом Evelyn Stealer получал возможность действовать скрытно и экспортировать украденные данные на сервер злоумышленников через FTP.

Среди собираемой информации — содержимое буфера обмена, список установленных приложений, данные криптовалютных кошельков, активные процессы, снимки экрана рабочего стола, сохранённые Wi‑Fi-пароли, системные сведения и данные из браузеров Google Chrome и Microsoft Edge, включая куки и сохранённые пароли. Вредонос также умеет обнаруживать виртуальные среды и инструменты анализа, завершает процессы браузеров, чтобы снизить риск сбоев при извлечении данных.

Для дополнительной маскировки используются специальные параметры запуска браузеров. В их числе — отключение графических ускорителей, расширений и логирования, перевод окна в фоновый режим с минимальным размером 1х1 пиксель, а также обход экранов настройки. Такое поведение затрудняет обнаружение и вмешательство со стороны защитных решений.

Отдельной защитной мерой вредонос использует механизм мьютекса — объект синхронизации, не позволяющий одновременно запустить несколько копий вредоносного кода на одном устройстве. По оценке Trend Micro, кампания с участием Evelyn Stealer демонстрирует всё более целенаправленную работу злоумышленников против разработчиков, которые представляют собой особенно ценные цели в контексте безопасности программного обеспечения.