Evilnum APT Team emplea una nueva RAT de Python



El troyano de acceso remoto PyVil permite a los atacantes exfiltrar datos, realizar registros de teclas, realizar capturas de pantalla e implementar herramientas para el robo de credenciales.

El grupo de amenazas persistentes avanzadas (APT) de Evilnum ha adoptado un nuevo troyano de acceso remoto (RAT) de Python para apuntar a organizaciones de tecnología financiera con ataques de spear-phishing bien diseñados. Este es uno de los varios cambios detectados en las tácticas del grupo durante las últimas semanas, informan los investigadores.

Evilnum apareció por primera vez en 2018. Desde entonces, ha empleado una variedad de estrategias de ataque contra empresas fintech. La mayoría de sus víctimas se encuentran en el Reino Unido y la UE, aunque algunos ataques han aterrizado en Australia y Canadá. Se ha visto a Evilnum utilizando componentes de ataque con secuencias de comandos en JavaScript y C #, así como herramientas del proveedor de malware como servicio Golden Chickens.

Los investigadores de Cybereason han notado que Evilnum united states of america una nueva RAT con script de Python que llaman PyVil, así como cambios en su cadena de infección, persistencia e infraestructura, para evadir la detección.

El grupo APT opta por ataques altamente dirigidos en lugar de amplias campañas de phishing. A menudo explota las regulaciones de Conozca a su cliente (KYC), que obligan a las empresas a mantener registros con datos esenciales que pertenecen a cada cliente, así como a identificar a las personas que pueden actuar en nombre de un cliente.

Evilnum a menudo comienza las infecciones con correos electrónicos que entregan archivos ZIP que contienen archivos LNK disfrazados de documentos personales, por ejemplo, tarjetas de crédito, licencias de conducir y facturas de servicios públicos. Es probable que sean robados y pertenezcan a personas reales, señalan los investigadores en un informe sobre sus hallazgos.

Cuando se abre el archivo LNK, implementa el troyano JavaScript, que reemplaza el archivo LNK con un archivo authentic y hace que el proceso sea invisible para la víctima. Evilnum ha utilizado seis iteraciones del troyano JavaScript, todas las cuales tienen diferencias menores pero las mismas funcionalidades básicas: cargan y descargan archivos, roban cookies, recopilan información antivirus y ejecutan comandos, entre otros trucos. A veces, en su lugar, se utiliza un troyano C # con una funcionalidad similar.

Ahora, dicen los investigadores, Evilnum parece estar cambiando su proceso para ocultar mejor su actividad. Durante la etapa de infección, utiliza versiones modificadas de ejecutables legítimos para intentar pasar desapercibido.

En lugar de entregar cuatro archivos LNK en un archivo ZIP, solo archiva uno. Este archivo LNK está disfrazado de PDF con contenido como facturas de servicios públicos, fotos de tarjetas de crédito y fotos de licencias de conducir. Cuando se ejecuta el archivo LNK, se escribe un archivo JavaScript en el disco y se ejecuta, reemplazando el archivo LNK con un PDF. Esta vez, JavaScript actúa como un cuentagotas y carece de capacidades de comunicación de comando y control (C2).

Esto marca la primera etapa en una nueva cadena de infección que termina con la entrega de PyVil RAT, compilado con py2exe.

«Este Python RAT tiene varias capacidades», dice Tom Fakterman, analista de ciberseguridad de Cybereason. «(Es) capaz de descargar scripts Python adicionales … tiene la capacidad de robar credenciales, la capacidad de entregar más malware y ejecutables y ejecutar comandos en el sistema».

También puede realizar un registro de teclas, tomar capturas de pantalla y recopilar información como los productos antivirus en la máquina, los dispositivos USB conectados y la versión de Chrome en ejecución.

Esta es una nueva RAT de Python, y el código dentro del ejecutable está ofuscado con capas adicionales para evitar la descompilación de la carga útil, explica Fakterman en un redacción de sus hallazgos. Debido a que la RAT está oculta bajo todo este código, puede realizar funciones mientras permanece oculta.

Al analizar PyVil, los investigadores notaron varias veces que el malware recibió nuevos módulos de Python del servidor C2. Esta es una versión personalizada del Proyecto LaZagne, que Evilnum ha utilizado en el pasado, y el script está escrito para volcar contraseñas y recopilar datos de cookies para enviarlos al C2. Señalan que esto se puede utilizar para aumentar la funcionalidad de ataque.

«Esta innovación en tácticas y herramientas es lo que permitió que el grupo permaneciera bajo el radar, y esperamos ver más en el futuro a medida que el arsenal del grupo Evilnum continúa creciendo», afirma Fakterman en su artículo.

Kelly Sheridan es la editora de personalized de Dim Reading through, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary