De cerca con Evilnum, el grupo APT detrás del malware



El grupo detrás del malware Evilnum, que continúa atacando a las instituciones financieras, parece estar probando nuevas técnicas.

Los investigadores publicaron hoy un análisis del grupo avanzado de amenazas persistentes (APT) Evilnum, conocido por desarrollar malware del mismo nombre. Una mirada detallada a su actividad revela un conjunto de herramientas y una infraestructura evolucionadas que combinan malware personalizado con herramientas compradas a proveedores de malware como servicio (MaaS).

Evilnum ha existido durante al menos dos años, según Matías Porolli, un investigador de malware en ESET, que ha estado rastreando las operaciones del malware desde abril. El grupo ha apuntado históricamente a compañías de tecnología financiera que ofrecen plataformas de capacitación e inversión. Sus ataques son pocos en número pero muy específicos. Esto, combinado con el uso de herramientas legítimas por parte de Evilnum en su actividad, ha ayudado al grupo a volar casi por debajo del radar.

Si bien el malware de Evilnum ha estado activo desde 2018, se sabe poco sobre cómo funciona. ESET comenzó su investigación cuando uno de sus sistemas automatizados marcó una muestra maliciosa para componentes personalizados de Evilnum, dice Porolli. El análisis reveló que el código estaba relacionado con un informe anterior Los datos de telemetría ayudaron a conectar los puntos y aprender más sobre cómo funciona Evilnum.

La mayoría de los objetivos del grupo se encuentran en la UE y el Reino Unido, aunque algunos ataques han aterrizado en Australia y Canadá. Las organizaciones generalmente tienen oficinas en varios lugares, lo que podría explicar el rango geográfico del grupo.

El objetivo principal de Evilnum es espiar a sus objetivos y robar datos financieros de las empresas y sus clientes. Sus atacantes han robado previamente hojas de cálculo y documentos con listas de clientes, inversiones y operaciones comerciales presentaciones internas licencias de software package y credenciales para el comercio de computer software y plataformas cookies del navegador y datos de sesión credenciales de correo electrónico Información de tarjeta de crédito y comprobante de domicilio y documentos de identidad. El grupo también ha obtenido acceso a configuraciones de VPN y otra información relacionada con TI.

Al igual que muchos grupos de amenazas, Evilnum comienza con un correo electrónico de phishing. Los mensajes contienen un enlace a un archivo ZIP alojado en Google Push. Este archivo tiene varios archivos LNK diseñados para extraer y ejecutar un componente JavaScript malicioso mientras se muestra un documento falso. Estos archivos de «acceso directo» tienen «extensiones dobles» para engañar a las víctimas haciéndolas creer que son inofensivas y abrirlas.

Todos estos archivos LNK hacen lo mismo: cuando se abren, un archivo busca en su contenido líneas con un marcador específico y las escribe en un archivo JavaScript. Este archivo malicioso se ejecuta y luego escribe y abre un archivo señuelo con el mismo nombre que el archivo LNK. Los archivos señuelo son típicamente fotos de tarjetas de crédito o documentos de identidad, cosas que una institución financiera puede necesitar de los clientes.

«Los correos electrónicos aprovechan las regulaciones de &#39conoce a tu cliente&#39», explica Porolli. «La mayoría de las muestras maliciosas que usaron en correos electrónicos de phishing pretendieron ser fotos de tarjetas de identidad, tarjetas de crédito o facturas con comprobante de domicilio para fines de verificación de cuenta. Las instituciones financieras deben verificar dichos documentos para evitar actividades ilegales, por lo que los correos electrónicos maliciosos pueden mezclarse con correos electrónicos de verificación legítimos de clientes reales «.

Se supone que estos documentos señuelo son legítimos y se han recopilado de otros ataques, ya que Evilnum apunta a representantes de soporte y gerentes de cuentas que reciben este tipo de archivos. Los atacantes recopilan y reutilizan los documentos en diferentes empresas dentro de la misma región.

Bloques de construcción de la infraestructura de Evilnum
Evilnum ejecuta una infraestructura con múltiples servidores de comando y command (C2). Uno maneja las comunicaciones para el componente JavaScript, que es la primera etapa del ataque y puede lanzar otro malware, como herramientas MaaS o herramientas basadas en Python. Otro servidor maneja el componente C #. Un tercer servidor almacena sus herramientas y datos extraídos, servidor proxy y otras partes.

«Este grupo mantiene cada uno de sus componentes maliciosos independientes entre sí, con servidores dedicados», explica Porolli. «No reutilizan su infraestructura de ataques documentados en el pasado, lo que dificulta que los analistas puedan rastrearlos».

Los atacantes del grupo también usan puertas traseras, algunas personalizadas, otras compradas, que les dan más opciones para mantener el command sobre sus víctimas y opciones de respaldo en caso de que se elimine una de sus puertas traseras. El tiempo que permanecen en una pink varía según la seguridad del objetivo, continúa Porolli, pero pueden intentar entrar nuevamente si pierden el control.

En algunos ataques, los atacantes de Evilnum implementan herramientas compradas del proveedor Golden Chickens MaaS. Estas tiendas venden binarios maliciosos y la infraestructura necesaria, como los servidores C2. Golden Chickens también vende a FIN6 y Cobalt Team, dice Porolli versiones anteriores de componentes que united states Evilnum se vieron en los ataques de otros grupos. Los investigadores no creen que estos grupos sean iguales, pero comparten un proveedor de MaaS. Otros grupos que usan Golden Chickens también tenían objetivos financieros, y tiene una sólida reputación en el mercado negro.

Si bien no se sabe mucho sobre cómo usan los datos robados, Porolli señala que su operación es lo suficientemente rentable como para invertir en componentes MaaS. Este modelo proporciona a los atacantes tanto malware como una infraestructura que probablemente no se remontará a ellos.

«Hemos visto a este grupo buscar la redundancia e independencia de sus componentes maliciosos para poder persistir por más tiempo en la crimson de un objetivo», agrega.

Se pueden encontrar más detalles sobre la operación en Porolli&#39s análisis completo.

Contenido relacionado:

Kelly Sheridan es la Editora de personal de Dark Reading through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance coverage & Technological know-how, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia authentic