ESET investighează operațiunile grupului Evilnum care dezvoltă malware ce vizează sectorul financiar

2020-07-09

Cercetătorii ESET au lansat o analiză în profunzime a operațiunilor Evilnum, grupul APT (advanced persistent threat) din spatele programelor malware Evilnum. Conform datelor statistice ESET, țintele vizate au fost companii de tehnologie din sectorul financiar (platforme și instrumente pentru tranzacții online, de exemplu). Deși majoritatea țintelor sunt localizate în UE și Marea Britanie, ESET a identificat atacuri și în țări precum Australia și Canada. Principalul obiectiv al grupului Evilnum este să spioneze țintele sale și să obțină informații financiare atât de la companiile vizate, cât și de la clienții lor.

„În timp ce acest malware a fost descoperit “in-the-wild” încă din 2018 și a fost documentat anterior, prea puține informații au fost strânse despre grupul din spatele său și modul în care operează”, spune Matias Porolli, cercetătorul ESET care conduce ancheta despre Evilnum. „Setul lor de instrumente și infrastructura au evoluat și acum constau într-un amestec de programe malware, proiectate chiar de ei, combinate cu instrumente achiziționate de la Golden Chickens, un furnizor de Malware-as-a-Service, care are în portofoliul de clienți grupări infracționale cunoscute precum FIN6 și Cobalt Group”, a adaugăt el.

Evilnum fură informații sensibile, inclusiv date ale cardurilor de credit ale clienților și dovezi ale adreselor/documentelor de identitate; documente cu liste de clienți, investiții și operațiuni de tranzacționare; licențe software și acreditări pentru comercializarea de programe/platforme software; certificate de e-mail; și alte date. De asemenea, grupul a obținut acces la alte informații sensibile din sfera IT, cum ar fi configurațiile VPN.

Țintele au fost abordate prin e-mail-uri spear-phishing ce conțineau o legătură către un fișier ZIP găzduit pe Google Drive. Arhiva malware includea mai multe fișiere de tip shortcut care extrăgeau și executau o componentă malițioasă, în timp ce se afișa un document capcană gândit pentru disimulare”, explică Porolli. Aceste documente de disimulare a atacului par autentice și sunt folosite în mod continuu și activ în operațiunile curente ale grupului, în încercarea de a compromite noile victime. Documentele sunt adresate reprezentanților de suport tehnic și managerilor de cont, care primesc în mod regulat documente de identitate sau date ale cardurilor de credit de la clienții lor.

La fel ca în cazul multor coduri malițioase, pot fi trimise diverse comenzi către programele malware Evilnum. Printre acestea se numără comenzi pentru colectarea și trimiterea parolelor salvate în Google Chrome și a unor capturi de ecran; pentru oprirea programului malware și eliminarea persistenței; și pentru trimiterea cookie-urile Google Chrome către un server de comandă și control.

„Evilnum folosește o infrastructură complexă pentru operațiunile sale, cu multiple servere pentru diferite tipuri de comunicare”, concluzionează Porolli.

Pentru mai multe detalii tehnice despre malware-ul Evilnum și grupul APT, puteți citi articolul complet de pe blogul WeLiveSecurity „More evil: a deep look at Evilnum and its toolset”. Puteți urmări, de asemenea, echipa ESET Research pe Twitter pentru cele mai recente știri despre acest caz.