Nuevo troyano apunta a empresas de tecnología financiera para robar datos confidenciales


Apodado PyVil, el nuevo troyano de acceso remoto busca contraseñas, documentos, cookies del navegador y credenciales de correo electrónico, dice Cybereason.

caballo de Troya

Imagen: IvonneW, Getty Photos / iStockPhoto

Un nuevo troyano de acceso remoto (RAT) tiene como objetivo que las empresas de tecnología financiera en el Reino Unido y la Unión Europea capturen información confidencial a través de keylogging y capturas de pantalla. Descrito en una publicación de weblog del jueves de la firma de ciberseguridad Cybereason, la RAT llamada PyVil es cortesía del grupo Evilnum APT (Innovative Persistent Threat). Pero este tiene algunos trucos nuevos bajo la manga en comparación con los troyanos anteriores desplegados por el grupo.

VER: Política de formación y sensibilización sobre seguridad (TechRepublic High quality)

En su publicación de website, «No hay descanso para los malvados: Evilnum desata PyVil RAT, «Cybereason señala a Evilnum como una operación cuyos ataques de malware y campañas de phishing están muy dirigidos. El grupo suele centrarse en las empresas de tecnología financiera (FinTech), y sobre todo en las ubicadas en el Reino Unido y la UE.

Para implementar su malware, Evilnum explota documentos para Conozca las regulaciones de su cliente (KYC), que contienen información proporcionada por clientes que realizan negocios con varios proveedores. Los bancos y las empresas financieras suelen utilizar estos documentos para verificar la identidad de sus clientes, lo que parece estar relacionado con el enfoque de Evilnum en el sector FinTech.

Los ataques de Evilnum generalmente comienzan con correos electrónicos de spear phishing que entregan archivos ZIP con archivos LNK que fingen ser fotos de licencias de conducir, tarjetas de crédito, facturas de servicios públicos y otros registros confidenciales. Estos documentos suelen ser robados y pertenecen a personas reales.

Después de que la víctima abre un archivo LNK, un troyano JavaScript reemplaza el archivo LNK con una imagen authentic. Luego, el troyano procede a cargar y descargar archivos, robar cookies, recopilar información antivirus y ejecutar varios comandos. También establece la comunicación con los servidores C2 (comando y handle) del grupo.

Una progresión de sus esfuerzos anteriores, la última creación de Evilnum es PyVil, una RAT con script de Python que se utiliza para obtener contraseñas, documentos, cookies del navegador y credenciales de correo electrónico en dispositivos infectados. PyVil se diferencia de los troyanos anteriores del grupo en algunos aspectos, según Cybereason.

PyVil RAT fue compilado con py2exe, un ejecutable que convierte scripts de Python en programas de Windows y tiene la capacidad de descargar nuevos módulos para expandir su funcionalidad. PyVil también marca un cambio de solo troyanos JavaScript con capacidades de puerta trasera convencionales a un proceso de varios pasos más sofisticado para entregar la carga útil maliciosa. Además, esta estrategia utiliza versiones modificadas de archivos ejecutables legítimos en un esfuerzo por escabullirse de las herramientas de seguridad.

Los troyanos JavaScript todavía están en juego con esta última campaña. Pero en este caso, se utilizan como cuentagotas de primera etapa para allanar el camino para PyVil. Después de la infección, PyVil intenta recopilar información en el dispositivo, tomar capturas de pantalla, obtener datos del registro de teclas, abrir un shell SSH y descargar herramientas adicionales. Estas herramientas pueden ser otro programa ejecutable o un módulo de Python como LaZagne, cualquiera de los cuales agregará más funcionalidad para que el ataque continúe.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

«Esta innovación en tácticas y herramientas es lo que permitió al grupo permanecer bajo el radar, y esperamos ver más en el futuro a medida que el arsenal del grupo Evilnum continúa creciendo», dijo Cybereason.

¿Qué pueden hacer las organizaciones y las personas para protegerse contra este tipo de ataques RAT?

«Las empresas están en un juego del gato y el ratón con los adversarios cibernéticos, y adelantarse a ellos requiere resiliencia y servicios de monitoreo y caza de amenazas de red las 24 horas», dijo a TechRepublic Tom Fakterman, investigador de amenazas de Cybereason. «Mejorar la higiene de la seguridad brindará a las empresas un análisis más amplio y profundo de sus redes, lo que les permitirá erradicar el comportamiento malicioso más rápido. Para los empleados, recomendaría que no abran archivos adjuntos en correos electrónicos de fuentes desconocidas y no descarguen archivos y contenido de dudosos fuentes. Lo mismo se aplica a todos los dispositivos, incluidos Pc, Mac, portátiles y todos los dispositivos móviles «.

Ver también



Enlace a la noticia initial