Los investigadores conectan al grupo de piratería Evilnum con ataques cibernéticos contra empresas Fintech


Evilnum se ha detectado en la naturaleza desde 2018 con vínculos entre el grupo avanzado de amenazas persistentes (APT) y ataques contra empresas de tecnología financiera.

Sin embargo, más allá del gusto del grupo por los objetivos de Fintech, se ha explorado poco en términos de herramientas, técnicas o posibles vínculos del grupo con otros ciberatacantes.

Investigadores de ESET han estado investigando la APT durante algún tiempo y el jueves publicaron un análisis del grupo de amenaza.

Según el equipo, Evilnum se ha centrado en objetivos ubicados en Europa y el Reino Unido, aunque algunas víctimas también se encuentran en Australia y Canadá.

Al igual que con muchos ciberatacantes que se especializan en objetivos financieros, el objetivo es infiltrarse en las redes corporativas, obtener credenciales de acceso y robar información financiera valiosa que luego puede usarse para compras fraudulentas o venderse a granel a otros delincuentes.

Ver también: Los ataques de Promethium APT aumentan, nuevos instaladores troyanizados descubiertos

El vector de ataque preliminar de Evilnum es común: acércate al objetivo con correos electrónicos de pesca submarina. Si bien los correos electrónicos de phishing estándar a menudo se usan en tácticas de &#39rociar y orar&#39, estos mensajes utilizarán ingeniería social y contendrán información que hace que los correos electrónicos parezcan genuinos para los representantes de soporte técnico y los gerentes de cuentas.

Los correos electrónicos contienen un enlace a un archivo .zip alojado en Google Travel. Una vez extraídos, los archivos .LNK maliciosos conducirán a documentos señuelo que parecen ser archivos relacionados con los datos de Conozca a su cliente (KYC), como copias de licencias de conducir o facturas con comprobante de domicilio.

Sin embargo, estos documentos ejecutarán una gama de componentes maliciosos para comprometer las redes corporativas.

Conjunto de herramientas de Evilnum ha evolucionado en los últimos años y ahora incluye malware personalizado, incluida la familia de malware Evilnum, así como herramientas de piratería compradas en Pollos Dorados, un grupo de ESET dice que es un proveedor de Malware-as-a-Support (MaaS) que también cuenta con FIN6 y Cobalt Group entre su clientela.

CNET: Las mejores cámaras de seguridad para el hogar de 2020

Estas las herramientas incluyen Componentes ActiveX (archivos OCX) que contienen TerraLoader, un gotero para otro malware disponible para los clientes de Golden Chickens, como la puerta trasera Extra_eggs, un conjunto de secuestro de órdenes de búsqueda de DLL y un sofisticado programa de acceso remoto.

«Creemos que FIN6, Cobalt Team y Evilnum team no son lo mismo, a pesar de las superposiciones en sus conjuntos de herramientas. Simplemente comparten el mismo proveedor de MaaS», señaló ESET.

Si una víctima abre un documento señuelo, se lanzará el malware Evilnum, las herramientas basadas en Python o los componentes de Golden Chickens. Cada herramienta tiene un enlace a un servidor separado de comando y handle (C2) y funciona de forma independiente, ya sea por robo de información, persistencia, despliegue de malware adicional u otras funciones maliciosas.

La carga principal de Evilnum se centra en el robo, incluidas las credenciales de la cuenta guardadas en el navegador Google Chrome, así como las cookies, y buscará en los sistemas infectados información de tarjetas de crédito, documentos de identificación, listas de clientes, inversiones y documentos comerciales, licencias de software y configuraciones de VPN. .

TechRepublic: Bitdefender presenta Human Possibility Analytics para proteger contra errores humanos

Los investigadores han conectado al grupo con una variedad de ataques basados ​​en Fintech, pero no creen que esto sea suficiente para vincularlos con cualquier otro APT en la actualidad.

«Los objetivos son muy específicos y no numerosos», dice ESET. «Esto, y el uso del grupo de herramientas legítimas en su cadena de ataque, han mantenido sus actividades en gran parte bajo el radar. Pudimos unirnos a los puntos y descubrir cómo funciona el grupo, descubriendo algunas coincidencias con otros grupos APT conocidos. Creemos que esto y otros grupos comparten el mismo proveedor de MaaS, y el grupo Evilnum aún no puede asociarse con ningún ataque anterior de ningún otro grupo APT «.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia original