Hackers del grupo Evilnum atacan a la industria fintech

ESET analizó las operaciones de Evilnum, el grupo APT (En español, Amenaza Persistente Avanzada) detrás del malware Evilnum, que se identificó en ataques contra compañías de tecnología financiera.

Según datos aportados por la telemetría de ESET, los objetivos de Evilnum son compañías de tecnología financiera; por ejemplo, compañías que ofrecen plataformas y herramientas para realizar trading en línea. La mayoría de los objetivos se encuentran en países de la UE y el Reino Unido, también se identificaron ataques en países como Australia y Canadá y, por lo general, son empresas que cuentan con oficinas en varios lugares, lo que explica la diversidad geográfica de los ataques.

El objetivo principal del grupo Evilnum es espiar y obtener información financiera tanto de las empresas a las que apunta como de sus clientes. Algunos ejemplos del tipo de información que este grupo roba son:

• Hojas de cálculo y documentos con listas de clientes, inversiones y operaciones de trading.
• Presentaciones internas
• Licencias de software y credenciales para software/plataformas de trading
• Cookies e información de sesión de navegadores
• Credenciales de correo electrónico
• Información de la tarjeta de crédito del cliente y comprobantes de documentos de domicilio/ identidad

Este malware se identificó en el año 2018 y si bien fue documentado, no hay mucha información sobre el grupo detrás y cómo funciona. Los investigadores de ESET lo analizaron, y establecen acercan un panorama detallado de las actividades de Evilnum.

Sus objetivos son las compañías Fintech, y sus herramientas e infraestructura evolucionaron hasta estar compuesto por malware personalizado, desarrollado por el propio grupo, combinado con herramientas compradas a un proveedor de Malware-as-a-Service (MaaS). Este término se usa para describir a los creadores de malware que ofrecen no solo sus binarios maliciosos, sino también cualquier infraestructura necesaria (como los servidores de C&C) e incluso soporte técnico a los cibercriminales que tienen como clientes.

Los objetivos son alcanzados mediante correos electrónicos de spearphishing (Se trata de una estafa de suplantación de identidad dirigida vía correo electrónico que ocurre con una intención maliciosa) que contienen un enlace a un archivo ZIP alojado en Google Drive.

Ese archivo contiene varios archivos LNK (también conocido como acceso directo) que extraen y ejecutan un componente JavaScript malicioso, mientras se muestra un documento utilizado como señuelo. Estos archivos de acceso directo tienen “extensiones dobles” para intentar engañar al usuario y que los abra pensando que son documentos o imágenes benignas (en Windows, las extensiones de archivo para tipos de archivo conocidos están ocultas de forma predeterminada).