Saldırının Genel Çerçevesi
Son analizlere göre, Evelyn Stealer adlı zararlı yazılım, Visual Studio Code (VS Code) için geliştirilen üç kötü amaçlı eklenti üzerinden yayılıyor. BigBlack.bitcoin-black, BigBlack.codo-ai ve BigBlack.mrbigblacktheme isimli eklentiler, gizli bir PowerShell komutuyla kötü amaçlı bir DLL dosyası (Lightshot.dll) indiriyor. Bu DLL, ikinci aşama olarak runtime.exe adlı yürütülebilir dosyayı indirip çalıştırıyor ve ana stealer bileşenini şifre çözerek doğrudan Windows’un meşru bir süreci olan grpconv.exe içine enjekte ediyor. Böylece, hedef sistemdeki hassas veriler toplanıp FTP üzerinden uzak bir sunucuya gönderiliyor.
Hangi Sistemler Risk Altında?
Bu saldırı, özellikle VS Code ve üçüncü taraf eklentilere güvenen yazılım geliştirme ekiplerini hedef alıyor. Geliştirici ortamlarının ele geçirilmesi, sadece bireysel kullanıcılar için değil, aynı zamanda bu ortamlar üzerinden erişilen kurumsal sistemler, bulut kaynakları ve dijital varlıklar için de ciddi bir tehdit oluşturuyor. Kripto para cüzdanları, Google Chrome ve Microsoft Edge tarayıcılarında saklanan kimlik bilgileri ve çerezler gibi değerli bilgiler de hedefler arasında yer alıyor.
Saldırı Zinciri ve Teknik Detaylar
Saldırı zinciri şu adımlardan oluşuyor:
- VS Code eklentileri aracılığıyla kötü amaçlı DLL indirilmesi ve çalıştırılması.
- PowerShell komutu ile runtime.exe dosyasının indirilip çalıştırılması.
- Ana stealer bileşeninin Windows süreci içine enjekte edilmesi.
- Panodaki içerik, yüklü uygulamalar, kripto cüzdanları, çalışan işlemler, masaüstü ekran görüntüleri, Wi-Fi kimlik bilgileri, sistem bilgileri ve tarayıcı kimlik bilgileri ile çerezlerin toplanması.
- Toplanan verilerin ZIP formatında FTP sunucusuna gönderilmesi.
Ek olarak, zararlı yazılım analiz ve sanal ortamları tespit etmek için koruma mekanizmaları kullanıyor. Aktif tarayıcı süreçlerini sonlandırarak kimlik bilgileri ve çerezlerin çıkarılması sırasında olası müdahaleleri engelliyor. Tarayıcıyı komut satırından başlatırken başsız mod, GPU devre dışı bırakma, sandbox kapatma gibi birçok bayrak kullanıyor.
Yeni Python Tabanlı Stealer Varyantları
Bu kampanya, MonetaStealer ve SolyxImmortal adlı iki yeni Python tabanlı stealer zararlısının ortaya çıkışıyla aynı döneme denk geliyor. MonetaStealer, özellikle Apple macOS sistemlerini hedef alırken, SolyxImmortal meşru sistem API’leri ve yaygın üçüncü taraf kütüphanelerini kullanarak hassas verileri Discord webhook’larına aktarıyor. SolyxImmortal, kullanıcı alanında çalışarak tespit edilme olasılığını azaltmayı hedefliyor ve uzun vadeli erişim sağlıyor.
Siber Güvenlik Ekipleri İçin Öneriler
- VS Code ve diğer geliştirme ortamlarında kullanılan eklentilerin kaynağını doğrulayın ve yalnızca güvenilir kaynaklardan eklenti yükleyin.
- EDR çözümleriyle süreç enjeksiyonu ve bellek içi şifre çözme faaliyetlerini izleyin.
- FTP trafiğini ve bilinmeyen uzak sunuculara yapılan veri transferlerini SIEM sistemleriyle takip edin.
- Tarayıcı süreçlerinin beklenmedik şekilde sonlandırılması ve başsız modda çalıştırılması gibi anormallikleri loglayın.
- MFA ve IAM politikaları ile geliştirici ortamlarına erişimi sınırlandırın ve segmentasyon uygulayın.
- Olay müdahale planlarını güncelleyerek stealer saldırılarına karşı hızlı aksiyon alın.
- Kripto para cüzdanlarının ve hassas kimlik bilgilerinin saklandığı ortamların güvenliğini artırın.
- Analiz ve sanal ortam tespiti yapan zararlılara karşı sandbox ortamlarını çeşitlendirin.
Kurumsal Ortamlarda Olası Senaryo
Bir SaaS sağlayıcısında çalışan yazılım geliştirme ekibi, VS Code eklentileri üzerinden yayılan Evelyn Stealer saldırısına maruz kalabilir. Ele geçirilen geliştirici kimlik bilgileri ve API anahtarları, saldırganların bulut altyapısına erişmesini sağlayarak müşteri verilerinin sızmasına yol açabilir. Ayrıca, kripto para cüzdanlarının hedef alınması, finansal kayıplara neden olabilir. Bu nedenle, bulut güvenliği ve ağ segmentasyonu uygulamaları kritik önem taşır.