Οι παράγοντες απειλών μετατρέπουν τον κώδικα του Visual Studio σε πλατφόρμα επίθεσης, χρησιμοποιώντας το πλούσιο οικοσύστημα επέκτασης για να διολισθήσει κακόβουλο λογισμικό πολλαπλών σταδίων σε σταθμούς εργασίας προγραμματιστών.
Η πιο πρόσφατη καμπάνια, που ονομάζεται Evelyn Stealer, κρύβεται πίσω από μια κακόβουλη επέκταση που παρέχει ένα μυστικό εργαλείο κλοπής πληροφοριών σε πολλά προσεκτικά σκηνοθετημένα βήματα.
Αντί να στοχεύουν τους τελικούς χρήστες, οι χειριστές κυνηγούν τους προγραμματιστές, οι οποίοι συχνά κρατούν κλειδιά για τον πηγαίο κώδικα, τις κονσόλες cloud και τα περιουσιακά στοιχεία κρυπτονομισμάτων.
Η επίθεση ξεκινά όταν ένα θύμα εγκαθιστά μια trojanized επέκταση κώδικα Visual Studio που φαίνεται χρήσιμη ή αβλαβής. Πίσω από τις σκηνές ρίχνει ένα ψεύτικο στοιχείο Lightshot.dll, το οποίο στη συνέχεια φορτώνεται από το νόμιμο εργαλείο στιγμιότυπου οθόνης Lightshot.exe.
Από εκεί ξεδιπλώνεται η αλυσίδα κακόβουλου λογισμικού, ανακτώντας νέα ωφέλιμα φορτία, εκκινώντας κρυφές εντολές PowerShell και προετοιμάζοντας το έδαφος για το τελικό εκτελέσιμο Evelyn Stealer που κλέβει δεδομένα σε κλίμακα.
.webp.jpeg "Απειλήστε τους ηθοποιούς που εξοπλίζουν τον κώδικα του Visual Studio για να αναπτύξουν ένα κακόβουλο λογισμικό πολλαπλών σταδίων")
Αναλυτές Trend Micro διάσημος ότι οι εισβολείς οπλίζουν την εμπιστοσύνη στην αγορά του Visual Studio Code, χρησιμοποιώντας την επέκταση για να οργανώσουν μια πλήρη αλυσίδα επίθεσης που εκτείνεται από τον αρχικό φορτωτή έως την τελική κλοπή δεδομένων.
.webp.jpeg "Απειλήστε τους ηθοποιούς που εξοπλίζουν τον κώδικα του Visual Studio για να αναπτύξουν ένα κακόβουλο λογισμικό πολλαπλών σταδίων")
Με την κατάχρηση ενός οικείου εργαλείου όπως το Lightshot και τη χρήση εξαγωγών με υπογεγραμμένη εμφάνιση, το πρώτο στάδιο συνδυάζεται με την κανονική δραστηριότητα προγραμματιστή, ενώ ρυθμίζει αθόρυβα τις επόμενες φάσεις του συμβιβασμού.
Μόλις εκτελεστεί πλήρως, η Evelyn Stealer συλλέγει κωδικούς πρόσβασης προγράμματος περιήγησης, cookies, πορτοφόλια κρυπτονομισμάτων, περιόδους σύνδεσης μηνυμάτων, προφίλ VPN, κλειδιά Wi-Fi και ευαίσθητα αρχεία από το μηχάνημα που έχει παραβιαστεί.
Καταγράφει επίσης στιγμιότυπα οθόνης και λεπτομερείς πληροφορίες συστήματος, στη συνέχεια συμπιέζει τα πάντα σε ένα ενιαίο αρχείο και το ανεβάζει σε έναν διακομιστή FTP που ελέγχεται από τους εισβολείς.
Για οργανισμούς, ένας μόνο μολυσμένος φορητός υπολογιστής προγραμματιστή μπορεί να εκθέσει τον πηγαίο κώδικα, τα διακριτικά πρόσβασης στο cloud και τα διαπιστευτήρια παραγωγής, μετατρέποντας ένα λάθος της αλυσίδας εργαλείων σε παραβίαση ευρείας κλίμακας.
Μέσα στην αλυσίδα μόλυνσης πολλαπλών σταδίων
Το πρώτο στάδιο βρίσκεται μέσα σε μια κακόβουλη επέκταση κώδικα του Visual Studio και μεταμφιέζεται ως Lightshot.dll, που εκτελείται από το Lightshot.exe κάθε φορά που ο χρήστης τραβά ένα στιγμιότυπο οθόνης.
.webp.png "Απειλήστε τους ηθοποιούς που εξοπλίζουν τον κώδικα του Visual Studio για να αναπτύξουν ένα κακόβουλο λογισμικό πολλαπλών σταδίων")
Όταν ενεργοποιηθεί, αυτό το πρόγραμμα λήψης εκκινεί μια κρυφή εντολή PowerShell που τραβάει ένα αρχείο δεύτερου σταδίου με το όνομα iknowyou.model από έναν απομακρυσμένο τομέα, το αποθηκεύει ως runtime.exe και το εκτελεί.
Το ωφέλιμο φορτίο Evelyn Stealer δημιουργεί έναν φάκελο AppData Evelyn, εισάγει το Edge και το Chrome με το abe_decrypt.dll και, στη συνέχεια, ανεβάζει ένα zip μέσω FTP.
