Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch mã độc nhắm mục tiêu vào các nhà phát triển phần mềm với một công cụ đánh cắp thông tin mới có tên Evelyn Stealer bằng cách vũ khí hóa hệ sinh thái tiện ích mở rộng của Microsoft Visual Studio Code (VS Code).
"Mã độc được thiết kế để đánh cắp thông tin nhạy cảm, bao gồm developer credentials và cryptocurrency-related data. Compromised developer environments can also be abused as access points into broader organizational systems," Trend Micro cho biết trong một phân tích được công bố vào thứ Hai.
Hoạt động này được thiết kế để nhắm mục tiêu vào các tổ chức có đội ngũ phát triển phần mềm dựa vào VS Code và các tiện ích mở rộng của bên thứ ba, cùng với những tổ chức có quyền truy cập vào các production systems, cloud resources hoặc digital assets.
Điều đáng chú ý là chi tiết của chiến dịch đã được Koi Security ghi nhận lần đầu tiên vào tháng trước, khi các chi tiết về ba tiện ích mở rộng của VS Code – BigBlack.bitcoin-black, BigBlack.codo-ai và BigBlack.mrbigblacktheme – cuối cùng đã thả một downloader DLL độc hại ("Lightshot.dll") chịu trách nhiệm khởi chạy một lệnh PowerShell ẩn để tìm nạp và thực thi một second-stage payload ("runtime.exe").
Cách thức hoạt động và thông tin bị đánh cắp
Tệp thực thi, về phần mình, giải mã và inject payload stealer chính vào một quy trình Windows hợp pháp ("grpconv.exe") trực tiếp trong bộ nhớ, cho phép nó thu thập dữ liệu nhạy cảm và exfiltrate nó đến một remote server ("server09.mentality[.]cloud") qua FTP dưới dạng tệp ZIP. Một số thông tin được mã độc thu thập bao gồm:
- Nội dung Clipboard
- Installed apps
- Cryptocurrency wallets
- Running processes
- Desktop screenshots
- Stored Wi-Fi credentials
- System information
- Credentials và stored cookies từ Google Chrome và Microsoft Edge
Ngoài ra, nó triển khai các safeguard để detect analysis và virtual environments, đồng thời thực hiện các bước để terminate active browser processes nhằm đảm bảo quá trình thu thập dữ liệu seamless và ngăn chặn bất kỳ potential interference nào khi attempting to extract cookies và credentials.
Điều này được thực hiện bằng cách khởi chạy trình duyệt thông qua command line bằng cách đặt các flag sau để detection và forensic traces:
--headless=new, để chạy ở chế độ headless mode--disable-gpu, để ngăn chặn GPU acceleration--no-sandbox, để vô hiệu hóa browser security sandbox--disable-extensions, để ngăn các security extensions hợp pháp can thiệp--disable-logging, để vô hiệu hóa browser log generation--silent-launch, để suppress startup notifications--no-first-run, để bypass initial setup dialogs--disable-popup-blocking, để đảm bảo malicious content có thể execute--window-position=-10000,-10000, để định vị cửa sổ off-screen--window-size=1,1, để minimize window xuống 1x1 pixel
Trình tải xuống [DLL] tạo một mutual exclusion (mutex) object để đảm bảo rằng chỉ một instance của mã độc có thể chạy tại bất kỳ thời điểm nào, đảm bảo rằng nhiều instances của mã độc không thể được execute trên một compromised host," Trend Micro cho biết. "Chiến dịch Evelyn Stealer phản ánh việc operationalization of attacks chống lại developer communities, những người được coi là high-value targets do vai trò quan trọng của họ trong software development ecosystem."
Các loại mã độc Stealer dựa trên Python mới
Việc tiết lộ này trùng hợp với sự xuất hiện của hai họ mã độc stealer mới dựa trên Python được gọi là MonetaStealer và SolyxImmortal, với MonetaStealer cũng có khả năng nhắm mục tiêu vào các hệ thống Apple macOS để enable comprehensive data theft.
"[SolyxImmortal] leverages legitimate system APIs và widely available third-party libraries để extract sensitive user data và exfiltrate nó đến attacker-controlled Discord webhooks," CYFIRMA cho biết.
Thiết kế của nó emphasizes stealth, reliability và long-term access rather than rapid execution hoặc destructive behaviour. Bằng cách operating entirely in user space và relying on trusted platforms cho command-and-control, mã độc reduces its likelihood of immediate detection while maintaining persistent visibility vào user activity.
