Cybersecurity-onderzoekers hebben details bekendgemaakt van een malwarecampagne die zich richt op softwareontwikkelaars met een nieuwe informatiedief genaamd Evelyn Stealer, door het Microsoft Visual Studio Code (VS Code)-extensie-ecosysteem te bewapenen.
“De malware is ontworpen om gevoelige informatie te exfiltreren, waaronder inloggegevens van ontwikkelaars en cryptocurrency-gerelateerde gegevens. Gecompromitteerde ontwikkelaarsomgevingen kunnen ook worden misbruikt als toegangspunten tot bredere organisatiesystemen”, aldus Trend Micro in een analyse die maandag is gepubliceerd.
De activiteit is bedoeld om organisaties te onderscheiden met softwareontwikkelingsteams die afhankelijk zijn van VS Code en extensies van derden, naast organisaties met toegang tot productiesystemen, cloudbronnen of digitale middelen, voegde het eraan toe.
Het is vermeldenswaard dat details van de campagne vorige maand voor het eerst werden gedocumenteerd door Koi Security, toen details naar voren kwamen over drie VS Code-extensies – BigBlack.bitcoin-black, BigBlack.codo-ai en BigBlack.mrbigblacktheme – die uiteindelijk een kwaadaardige downloader-DLL (“Lightshot.dll”) lieten vallen die verantwoordelijk was voor het lanceren van een verborgen PowerShell-opdracht om een tweede fase payload op te halen en uit te voeren (“runtime.exe”).
Het uitvoerbare bestand decodeert en injecteert de belangrijkste stealer-payload in een legitiem Windows-proces (“grpconv.exe”) rechtstreeks in het geheugen, waardoor het gevoelige gegevens kan verzamelen en deze via FTP in de vorm van een ZIP-bestand kan exfiltreren naar een externe server (“server09.mentality(.)cloud”). Een deel van de informatie die door de malware wordt verzameld, omvat:
- Inhoud klembord
- Geïnstalleerde apps
- Portemonnees voor cryptovaluta
- Lopende processen
- Schermafbeeldingen van het bureaublad
- Opgeslagen Wi-Fi-inloggegevens
- Systeeminformatie
- Inloggegevens en opgeslagen cookies van Google Chrome en Microsoft Edge
Daarnaast implementeert het veiligheidsmaatregelen om analyse- en virtuele omgevingen te detecteren en onderneemt het stappen om actieve browserprocessen te beëindigen om een naadloos gegevensverzamelingsproces te garanderen en mogelijke interferentie te voorkomen bij pogingen om cookies en inloggegevens te extraheren.
Dit wordt bereikt door de browser via de opdrachtregel te starten door de volgende vlaggen in te stellen voor detectie en forensische sporen:
- –headless=new, om in headless-modus te draaien
- –disable-gpu, om GPU-versnelling te voorkomen
- –no-sandbox, om de browserbeveiligingssandbox uit te schakelen
- –disable-extensions, om te voorkomen dat legitieme beveiligingsextensies interfereren
- –disable-logging, om het genereren van browserlogboeken uit te schakelen
- –silent-launch, om opstartmeldingen te onderdrukken
- –no-first-run, om de initiële installatiedialogen te omzeilen
- –disable-popup-blocking, om ervoor te zorgen dat kwaadaardige inhoud kan worden uitgevoerd
- –window-position=-10000,-10000, om het venster buiten het scherm te plaatsen
- –window-size=1,1, om het venster te minimaliseren tot 1×1 pixel
“De (DLL) downloader creëert een wederzijds uitsluitingsobject (mutex) om ervoor te zorgen dat slechts één exemplaar van de malware tegelijkertijd kan worden uitgevoerd, zodat meerdere exemplaren van de malware niet kunnen worden uitgevoerd op een gecompromitteerde host”, aldus Trend Micro. “De Evelyn Stealer-campagne weerspiegelt de operationalisering van aanvallen op ontwikkelaarsgemeenschappen, die worden gezien als waardevolle doelwitten gezien hun belangrijke rol in het softwareontwikkelingsecosysteem.”
De onthulling valt samen met de opkomst van twee nieuwe op Python gebaseerde stealer-malwarefamilies, genaamd MonetaStealer en SolyxImmortal, waarbij de eerste zich ook kan richten op Apple macOS-systemen om uitgebreide gegevensdiefstal mogelijk te maken.
“(SolyxImmortal) maakt gebruik van legitieme systeem-API’s en algemeen beschikbare bibliotheken van derden om gevoelige gebruikersgegevens te extraheren en deze te exfiltreren naar door aanvallers gecontroleerde Discord-webhooks”, aldus CYFIRMA.
“Het ontwerp legt de nadruk op stealth, betrouwbaarheid en toegang op lange termijn in plaats van snelle uitvoering of destructief gedrag. Door volledig in de gebruikersruimte te opereren en te vertrouwen op vertrouwde platforms voor command-and-control, verkleint de malware de kans op onmiddellijke detectie, terwijl het blijvende inzicht in gebruikersactiviteiten behouden blijft.
