ESET investighează operaţiunile grupului Evilnum, care dezvoltă malware ce vizează sectorul financiar

Cercetătorii ESET au lansat o analiză în profunzime a operaţiunilor Evilnum, grupul APT (advanced persistent threat) din spatele programelor malware Evilnum.

Conform datelor statistice ESET, ţintele vizate au fost companii de tehnologie din sectorul financiar (platforme şi instrumente pentru tranzacţii online, de exemplu). Deşi majoritatea ţintelor sunt localizate în UE şi Marea Britanie, ESET a identificat atacuri şi în ţări precum Australia şi Canada. Principalul obiectiv al grupului Evilnum este să spioneze ţintele sale şi să obţină informaţii financiare atât de la companiile vizate, cât şi de la clienţii lor.

„În timp ce acest malware a fost descoperit “in-the-wild” încă din 2018 şi a fost documentat anterior, prea puţine informaţii au fost strânse despre grupul din spatele său şi modul în care operează”, spune Matias Porolli, cercetătorul ESET care conduce ancheta despre Evilnum. „Setul lor de instrumente şi infrastructura au evoluat şi acum constau într-un amestec de programe malware, proiectate chiar de ei, combinate cu instrumente achiziţionate de la Golden Chickens, un furnizor de Malware-as-a-Service, care are în portofoliul de clienţi grupări infracţionale cunoscute precum FIN6 şi Cobalt Group”, a adaugăt el.

Evilnum fură informaţii sensibile, inclusiv date ale cardurilor de credit ale clienţilor şi dovezi ale adreselor/documentelor de identitate; documente cu liste de clienţi, investiţii şi operaţiuni de tranzacţionare; licenţe software şi acreditări pentru comercializarea de programe/platforme software; certificate de e-mail; şi alte date. De asemenea, grupul a obţinut acces la alte informaţii sensibile din sfera IT, cum ar fi configuraţiile VPN.

Ţintele au fost abordate prin e-mail-uri spear-phishing ce conţineau o legătură către un fişier ZIP găzduit pe Google Drive. Arhiva malware includea mai multe fişiere de tip shortcut care extrăgeau şi executau o componentă maliţioasă, în timp ce se afişa un document capcană gândit pentru disimulare”, explică Porolli. Aceste documente de disimulare a atacului par autentice şi sunt folosite în mod continuu şi activ în operaţiunile curente ale grupului, în încercarea de a compromite noile victime. Documentele sunt adresate reprezentanţilor de suport tehnic şi managerilor de cont, care primesc în mod regulat documente de identitate sau date ale cardurilor de credit de la clienţii lor.

La fel ca în cazul multor coduri maliţioase, pot fi trimise diverse comenzi către programele malware Evilnum. Printre acestea se numără comenzi pentru colectarea şi trimiterea parolelor salvate în Google Chrome şi a unor capturi de ecran; pentru oprirea programului malware şi eliminarea persistenţei; şi pentru trimiterea cookie-urile Google Chrome către un server de comandă şi control.

„Evilnum foloseşte o infrastructură complexă pentru operaţiunile sale, cu multiple servere pentru diferite tipuri de comunicare”, concluzionează Porolli.

Pentru mai multe detalii tehnice despre malware-ul Evilnum şi grupul APT, puteţi citi articolul complet de pe blogul WeLiveSecurity „More evil: a deep look at Evilnum and its toolset”.