Giriş
Kötü niyetli yazılım geliştiricileri, Microsoft Visual Studio Code (VS Code) eklenti ekosistemini hedef alan yeni bir bilgi çalma zararlısı olan Evelyn Stealer ile yazılım geliştiricilerini tehdit ediyor. Bu tür saldırılar, yazılımcıların ve organizasyonların hassas verilerini tehlikeye atarak daha geniş sistemlere erişim sağlar.
Saldırı Nasıl Çalışıyor?
Evelyn Stealer, yazılımcıların kimlik bilgilerini ve kripto para ile ilgili verileri çalmak üzere tasarlanmıştır. Trend Micro’nun analizine göre, bu zararlı yazılım, CVE kodları ile belirlenmiş olan üç VS Code eklentisi aracılığıyla yayılmaktadır: BigBlack.bitcoin-black , BigBlack.codo-ai ve BigBlack.mrbigblacktheme . Bu eklentiler, kötü amaçlı bir indirici DLL olan Lightshot.dll ‘yi yükleyerek gizli bir PowerShell komutunu çalıştırmaktır. Bu komut, ikinci aşama yükü olan runtime.exe ‘yi almak için kullanılır.
Etkilenen Sistemler
Evelyn Stealer ile etkilenen sistemler genellikle VS Code kullanan yazılım geliştirme ekipleridir. Ayrıca, bulut kaynaklarına ve dijital varlıklara erişimi olan organizasyonlar, hedef alınmaktadır. Zararlı yazılım, verileri bir FTP sunucusuna ZIP dosyası olarak aktarmaktadır. Toplanan bilgiler şunlardır:
- Clipboard içeriği
- Yüklenen uygulamalar
- Kripto para cüzdanları
- Çalışan süreçler
- Masaüstü ekran görüntüleri
- Kaydedilmiş Wi-Fi şifreleri
- Sistem bilgileri
- Google Chrome ve Microsoft Edge’den kimlik bilgileri ve saklanan çerezler
Çözüm ve Korunma
Evelyn Stealer, analiz ve sanal ortamları tespit etme amacıyla çeşitli önlemler almaktadır. Bilgisayar kullanıcılarının dikkat etmesi gereken bazı önemli noktalar ise şunlardır:
- Tarayıcıları başlatırken kullanılan belirli komut dosyası bayraklarına dikkat edilmelidir:
- –headless=new: Başsız modda çalıştırmak için
- –disable-gpu: GPU hızlandırmayı devre dışı bırakmak için
- –no-sandbox: Tarayıcı güvenlik kumandasını devre dışı bırakmak için
- –disable-extensions: Geçerli güvenlik uzantılarının müdahale etmemesi için
- –disable-logging: Tarayıcı günlüklerinin oluşturulmasını engellemek için
- –silent-launch: Başlatma bildirimlerini bastırmak için
- –no-first-run: İlk kurulum pencerelerini atlamak için
- –disable-popup-blocking: Kötü amaçlı içeriğin çalışmasını sağlamak için
- –window-position=-10000,-10000: Pencereyi ekrandan uzak bir konuma taşımak için
- –window-size=1,1: Pencereyi 1×1 piksel boyutuna küçültmek için
Aksiyon
Bu tür tehditlere karşı korunmak için aşağıdaki adımları takip etmeniz önemlidir:
- VS Code ve tüm eklentileri en son versiyonları ile güncelleyin.
- Bilgisayarınızda güvenlik duvarı kurallarını gözden geçirin ve gereksiz portları kapatın.
- Yalnızca güvenilir eklentileri yükleyin ve bilinmeyen kaynaklardan gelen eklentilerden kaçının.
- Antivirüs yazılımlarınızı güncel tutun ve düzenli tarama yapın.
Bu adımlar, bilgilerinizin güvenliğini artırmaya ve olası saldırılardan korunmanıza yardımcı olacaktır.
