Pesquisadores em cibersegurança revelaram detalhes de uma campanha de malware direcionada a desenvolvedores de software, que utiliza um novo information stealer chamado Evelyn Stealer.
A ameaça se propaga explorando o ecossistema de extensões do Microsoft Visual Studio Code (VS Code).
Segundo a análise da Trend Micro divulgada na última segunda-feira, o malware foi criado para extrair informações sensíveis, incluindo credenciais dos desenvolvedores e dados relacionados a criptomoedas.
Além disso, ambientes de desenvolvimento comprometidos podem servir como ponto de entrada para sistemas mais amplos dentro das organizações.
O ataque foca especialmente em equipes de desenvolvimento que utilizam o VS Code e extensões de terceiros, assim como em usuários com acesso a sistemas de produção, recursos em nuvem e ativos digitais.
A campanha já havia sido documentada no mês passado pela Koi Security, que identificou três extensões maliciosas no VS Code: BigBlack.bitcoin-black, BigBlack.codo-ai e BigBlack.mrbigblacktheme.
Essas extensões instalavam um downloader DLL chamado “Lightshot.dll”, responsável por executar um comando PowerShell oculto para baixar e executar um payload de segunda fase, o “runtime.exe”.
Esse executável descriptografa e injeta o payload principal do stealer na memória de um processo legítimo do Windows, o “grpconv.exe”.
Dessa forma, o malware coleta diversos dados sensíveis e os envia a um servidor remoto via FTP, compactados em arquivo ZIP.
Entre as informações extraídas estão:
- Conteúdo da área de transferência
- Aplicativos instalados
- Carteiras de criptomoedas
- Processos em execução
- Capturas de tela
- Credenciais Wi-Fi armazenadas
- Informações do sistema
- Credenciais e cookies salvos do Google Chrome e Microsoft Edge
Para garantir a eficácia da coleta, o malware implementa proteções contra ambientes de análise e máquinas virtuais.
Também encerra processos ativos dos navegadores para evitar interferências na extração de cookies e credenciais.
Para isso, o malware inicia o navegador via linha de comando com diversos parâmetros que impedem a ativação de recursos de segurança e ocultam janelas, como:
- --headless=new, para rodar em modo headless
- --disable-gpu, para desativar aceleração por GPU
- --no-sandbox, para desabilitar o sandbox de segurança
- --disable-extensions, para bloquear extensões legítimas
- --disable-logging, para evitar geração de logs
- --silent-launch, para suprimir notificações de inicialização
- --no-first-run, para pular telas iniciais
- --disable-popup-blocking, para permitir execução de conteúdo malicioso
- --window-position=-10000,-10000 e --window-size=1,1, para posicionar a janela fora da tela e minimizar seu tamanho
A Trend Micro destaca que o downloader DLL cria um objeto mutex para garantir que apenas uma instância do malware esteja em execução por vez, evitando múltiplas infecções na mesma máquina.
“Essa campanha é um exemplo claro de ataques direcionados a comunidades de desenvolvedores, alvos valiosos devido à sua importância no ecossistema de software”, afirma a empresa.
A divulgação ocorre paralelamente ao surgimento de duas novas famílias de stealers baseadas em Python, chamadas MonetaStealer e SolyxImmortal.
Enquanto o MonetaStealer também pode comprometer sistemas Apple macOS, o SolyxImmortal utiliza APIs legítimas e bibliotecas de terceiros para coletar dados sensíveis, enviando-os para webhooks do Discord controlados pelos atacantes.
Segundo a CYFIRMA, “o design do SolyxImmortal prioriza furtividade, confiabilidade e acesso prolongado, em vez de execução rápida ou comportamento destrutivo.
Ao operar totalmente no espaço do usuário e usar plataformas confiáveis para comando e controle, o malware minimiza as chances de detecção imediata, mantendo visibilidade contínua sobre as atividades do usuário.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...