複数ライセンス割引見積
脅威データベース スティーラーズ Evelyn Stealer

Evelyn Stealer

スティーラーズ, 高度な持続的脅威 (APT)Mezoまで
翻訳内容:

Evelynは、セキュリティ分析や検出を回避しながら、密かに機密データを収集するように設計された、高度な情報窃取型マルウェアです。主な機能は、感染したシステムから貴重な情報を収集し、FTP経由で脅威アクターのコマンドアンドコントロール(C2)インフラストラクチャに流出させることです。

このスティーラーは、保存されたブラウザの認証情報、クリップボードの内容、Wi-Fiのパスワード、暗号通貨ウォレットの情報、詳細なシステム情報など、幅広いデータを収集できます。収集が完了すると、窃取されたすべてのデータはZIPアーカイブに圧縮され、攻撃者のFTPサーバーに送信されます。

サイレントセットアップとWindows機能の悪用

Evelynは実行されると、プロセスインジェクション、ファイルおよびレジストリへのアクセス、ネットワーク通信、クリップボード監視などの機能を含む、動作に必要なWindowsコンポーネントを動的に読み込みます。これらの機能により、マルウェアはシステムに深く統合され、データ窃取という目的を達成することができます。

エヴリンは、隠蔽性を維持するため、手動および自動分析の両方を回避するように設計されています。完全に起動する前に、エヴリンは周囲の環境を評価し、調査対象かどうかを判断します。

組み込み分析とサンドボックス回避

Evelynは、仮想マシン、デバッガー、セキュリティツール、調査ツールなどを検出するために、複数の分析回避技術を採用しています。システムが正規のユーザー環境であることを確認した上でのみ、処理を続行します。

この段階で、マルウェアはユーザーの AppData フォルダ内に独自のディレクトリを作成し、収集した情報とサポート ファイルを保存するために使用します。

積極的なブラウザターゲティングとプロセス操作

マルウェアはまず、システム上に既に存在するブラウザデータを収集し、実行中のブラウザを強制的に閉じます。これにより、データの競合を防ぎ、次の段階であるインジェクションのための環境を準備します。

Evelyn はブラウザのログインデータを盗むために特定の補助ファイルを必要とします。まず、このファイルがシステムの TEMP ディレクトリに既に存在するかどうかを確認します。存在しない場合は、FTP サーバーからファイルをダウンロードしようとします。そして、最終手段として、マルウェア自体が実行しているディレクトリを検索します。

ファイルを取得すると、Evelynは標的のブラウザを高度に制御された方法で起動し、悪意のあるコンポーネントを密かに挿入します。これにより、スティーラーはブラウザに組み込まれた保護機能を回避できます。ユーザーやセキュリティソフトウェアへの警告を回避するため、ブラウザは多数の隠しパラメータを使用して起動されます。これらのパラメータは、ウィンドウの表示を抑制し、セキュリティ機能と拡張機能を無効化し、ログの生成を防止し、ブラウザが開かれたことを示す目に見える痕跡を隠します。これらの対策により、ブラウザデータを密かに抽出することが可能になります。

データ収集の拡大

Evelynはブラウザ以外にも、デスクトップのスクリーンショットをキャプチャし、現在のユーザー名、コンピュータ名、オペレーティングシステムのバージョン、インストールされているアプリケーション、実行中のプロセス、VPN設定など、広範なシステム詳細情報を収集します。また、このマルウェアは暗号通貨ウォレットを積極的に標的とし、クリップボードを監視し、保存されているWi-Fi認証情報を取得します。

収集されたすべての情報は統合され、ZIP アーカイブに圧縮され、FTP 経由で攻撃者の C2 サーバーに送信されます。

感染ベクター:トロイの木馬化された開発者向け拡張機能

Evelynは、正規のアドオンを装った悪意のあるVisual Studio Code拡張機能を通じて配布されます。インストールされると、この拡張機能は通常のLightshotダイナミックリンクライブラリ(DLL)を装った不正なファイルを作成します。その後、正規のLightshotアプリケーションはこの偽のDLLを読み込み、攻撃者のコードを意図せず実行します。

悪意のあるDLLはアクティブになると、隠されたPowerShellコマンドを起動し、追加のペイロードをダウンロードします。この二次コンポーネントは、Evelyn情報窃取ツールの挿入とアクティブ化を担います。

セキュリティへの影響とリスク評価

Evelynは、そのステルス性、広範なデータ収集範囲、そして強力な回避技術により、高リスクの脅威となっています。ブラウザデータ、システムインテリジェンス、そして暗号資産を標的としているため、感染は特に危険です。このスティーラーによる侵害は、金銭的損失、アカウント乗っ取り、そして個人情報の盗難につながる可能性があり、強力なエンドポイント保護、慎重な拡張機能のインストール、そして異常なシステム動作の継続的な監視の重要性を浮き彫りにしています。

トレンド

Imorportabless.com

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
オンラインでの安全確保は、これまで以上に重要になっています。ユーザーは毎日、数え切れないほどのウェブサイト、広告、ポップアップに遭遇しますが、その多くは情報提供ではなく、欺瞞を目的としています。特に悪質なページは、好奇心、焦り、そして信頼感を悪用し、巧妙な操作を用いて訪問者に有害なブラウザ機能を有効にさせようとします。最も悪用される手口の一つは、偽のCAPTCHAチェックです。これはユーザー...

ZenChainリワード詐欺

不正なウェブサイト
インターネットを閲覧する際に常に注意を払うことは、これまで以上に重要になっています。サイバー犯罪者は絶えず戦術を洗練させ、信頼、好奇心、そして金銭的利益を悪用することを目的とした、非常に説得力のあるウェブサイトやキャンペーンを作成しています。特に暗号通貨の世界では、たった一度の不注意なクリックが取り返しのつかない損失につながる可能性があります。 ZenChain Rewards詐欺:欺瞞的な...

Search.quicksearchsafe.com

不正なウェブサイト, ブラウザハイジャッカー, 望ましくない可能性のあるプログラム
侵入的で信頼できないPUP(潜在的に望ましくないプログラム)からデバイスを保護することは、セキュリティ、プライバシー、そしてシステムの安定性を維持するために不可欠です。この種のソフトウェアは便利なツールを装うことが多いものの、その真の目的はブラウザの動作を操作し、データを収集し、ユーザーを信頼できないオンラインコンテンツにさらすことです。こうした活動に関連する例として、Search.quic...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
44,853
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
34,303
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

修正方法「macOSはこのアプリにマルウェアがないことを確認できません」

問題
32,523
Macユーザーは通常、不明な開発者または公式のApp Storeで入手できず、サードパーティのアプリから提供されているアプリケーションをインストールしようとしているときに、「macOSはこのアプリにマルウェアがないことを確認できません」というメッセージが表示されます。licationプラットフォーム。このような場合、Gatekeepと呼ばれる組み込みのMacセキュリティシステムは、特定のアプ...
読み込んでいます...