Исследователи кибербезопасности обнаружили целевую кампанию, в рамках которой злоумышленники атакуют сообщество программных разработчиков, распространяя вредоносные расширения для популярной среды разработки Visual Studio Code (VSCode). Целью атаки, получившей название Evelyn Stealer, является кража конфиденциальных данных, включая учетные данные разработчиков и информацию, связанную с криптовалютами. Об этом свидетельствует технический анализ, опубликованный компанией Koi.ai 8 декабря 2025 года.
Описание
Кампания представляет собой многоэтапную атаку, где первым звеном цепочки выступает специально созданное вредоносное расширение для VSCode. После его установки запускается сложный процесс, направленный на незаметную доставку и выполнение финального вредоносного ПО - стилера (stealer, программа-вор). Этот тип вредоносного обеспечения специализируется на сборе и хищении информации с зараженных систем.
Атака начинается с загрузчика (downloader), который маскируется под легитимный компонент Lightshot.dll. После выполнения он использует скрытую команду PowerShell для загрузки второй стадии - инжектора (injector). Этот компонент, в свою очередь, применяет технику Process Hollowing для внедрения финальной полезной нагрузки (payload) в память легитимного системного процесса "grpconv.exe". Перед внедрением основной модуль стилера расшифровывается с использованием алгоритма AES-256-CBC, что усложняет его статический анализ.
Финальный модуль, Evelyn Stealer, отличается высокой степенью изощренности. Он реализует многоуровневые техники противодействия анализу, предназначенные для обнаружения и уклонения от виртуальных машин, песочниц (sandbox) и отладчиков. Среди этих техник - анализ характеристик GPU, проверка имени компьютера, размера диска и поиск процессов, связанных с виртуализацией.
Основная задача стилера - хищение данных. После проверки окружения он создает рабочую директорию в папке AppData пользователя. Затем вредоносное ПО получает критически важный компонент "abe_decrypt.dll", необходимый для кражи данных из браузеров. Этот компонент может быть загружен из временной папки TEMP, с FTP-сервера злоумышленников или из текущего каталога.
Для компрометации браузеров Evelyn Stealer использует сложную технику внедрения библиотек (DLL injection). Он запускает браузер с более чем 15 специальными флагами командной строки, которые отключают графический интерфейс, песочницу, расширения безопасности и логирование. Это позволяет зловреду работать максимально скрытно и обходить многие встроенные механизмы защиты. В результате он получает доступ к сохраненным в браузерах паролям, куки-файлам и другим данным.
Помимо данных браузеров, стилер собирает обширную информацию о системе: имя пользователя, версию ОС, список установленного ПО и запущенных процессов, конфигурации VPN. Также он целенаправленно ищет данные, связанные с криптовалютами: файлы кошельков, информацию из буфера обмена и пароли от Wi-Fi-сетей. Кроме того, вредоносное ПО способно делать скриншоты рабочего стола.
Все собранные данные архивируются в ZIP-файл с детализированным именем, содержащим 15 компонентов, включая код страны, IP-адрес, имя пользователя и метку времени. Этот архив затем передается на управляющий сервер (command-and-control, C&C) злоумышленников по протоколу FTP.
Эксперты отмечают, что данная кампания демонстрирует растущую тенденцию к целенаправленным атакам на разработчиков программного обеспечения. Эти специалисты являются высокоценными целями из-за своего привилегированного доступа к производственным системам, облачным ресурсам, исходному коду и цифровым активам. Скомпрометированная среда разработки может стать точкой входа для более масштабных атак на всю организацию.
Кампания Evelyn Stealer подчеркивает серьезность угрозы, исходящей из экосистем расширений для инструментов разработки, которым пользователи традиционно доверяют. Для защиты организациям рекомендуется внедрять строгие процедуры проверки расширений, осуществлять поведенческий мониторинг рабочих станций разработчиков и применять принципы архитектуры нулевого доверия (zero-trust) в рабочих процессах разработки. Техническая сложность и операционная зрелость этой атаки свидетельствуют о том, что в будущем подобные целевые кампании против IT-специалистов могут участиться.
Индикаторы компрометации
Domains
- server09.mentality.cloud
- syn1112223334445556667778889990.org
SHA256
- 369479bd9a248c9448705c222d81ff1a0143343a138fc38fc0ea00f54fcc1598
- 74e43a0175179a0a04361faaaaf05eb1e6b84adca69e4f446ef82c0a5d1923d5
- 92af258d13494f208ccf76f53a36f288060543f02ed438531e0675b85da00430
- aba7133f975a0788dd2728b4bbb1d7d948e50571a033a1e8f47a2691e98600c5
