Inicio / Alertas / Hackers de Evilnum apuntan a empresas financieras con una nueva RAT basada en Python

Hackers de Evilnum apuntan a empresas financieras con una nueva RAT basada en Python

Un adversario conocido por apuntar al sector fintech al menos desde 2018 ha cambiado sus tácticas para incluir un nuevo troyano de acceso remoto (RAT) basado en Python que puede robar contraseñas, documentos, cookies del navegador, credenciales de correo electrónico y otra información confidencial.

En un análisis publicado ayer por los investigadores de Cybereason, el grupo Evilnum no solo ha modificado su cadena de infección, sino que también ha implementado una Python RAT llamada “PyVil RAT”, que posee capacidades para recopilar información, tomar capturas de pantalla, capturar datos de pulsaciones de teclas, abrir un shell SSH. e implementar nuevas herramientas.

“Desde los primeros informes en 2018 hasta hoy, los TTP del grupo han evolucionado con diferentes herramientas, mientras que el grupo ha continuado enfocándose en los objetivos de fintech”, dijo la firma de ciberseguridad.

“Estas variaciones incluyen un cambio en la cadena de infección y persistencia, nueva infraestructura que se expande con el tiempo y el uso de un nuevo troyano de acceso remoto (RAT) con script de Python” para espiar sus objetivos infectados.

Durante los últimos dos años, Evilnum se ha vinculado a varias campañas de malware contra empresas en el Reino Unido y la UE que involucran puertas traseras escritas en JavaScript y C #, así como a través de herramientas compradas al proveedor de malware como servicio Golden Chickens.

web malware

En julio, se descubrió que el grupo APT apuntaba a empresas con correos electrónicos de spear-phishing que contenían un enlace a un archivo ZIP alojado en Google Drive para robar licencias de software, información de tarjetas de crédito de clientes y documentos de inversión y comercio.

Si bien el modus operandi de lograr un punto de apoyo inicial en el sistema comprometido sigue siendo el mismo, el procedimiento de infección ha sido testigo de un cambio importante.

Además de usar correos electrónicos de spear-phishing con documentos falsos de conocer a su cliente (KYC) para engañar a los empleados de la industria financiera para que activen el malware, los ataques han dejado de usar troyanos basados ​​en JavaScript con capacidades de puerta trasera a un simple cuentagotas de JavaScript que ofrece cargas útiles maliciosas ocultas en versiones modificadas de ejecutables legítimos en un intento de escapar a la detección.

“Este JavaScript es la primera etapa en esta nueva cadena de infección, que culmina con la entrega de la carga útil, una RAT escrita en Python compilada con py2exe que los investigadores de Nocturnus denominaron PyVil RAT”, dijeron los investigadores.

El procedimiento de entrega multiproceso (“ddpp.exe”), luego de la ejecución, descomprime el shellcode para establecer comunicación con un servidor controlado por el atacante y recibe un segundo ejecutable encriptado (“fplayer.exe”) que funciona como el descargador de la siguiente etapa para recuperar el Python RAT.

“En campañas anteriores del grupo, las herramientas de Evilnum evitaban el uso de dominios en las comunicaciones con el C2, utilizando únicamente direcciones IP”, señalaron los investigadores. “Si bien la dirección IP C2 cambia cada pocas semanas, la lista de dominios asociados con esta dirección IP sigue creciendo”.

hacking-sites

Si bien los orígenes exactos de Evilnum aún no están claros, es evidente que su constante improvisación de TTP los ha ayudado a permanecer fuera del radar.

A medida que las técnicas de APT continúan evolucionando, es esencial que las empresas permanezcan atentas y los empleados monitoreen sus correos electrónicos para detectar intentos de phishing y sean cautelosos cuando se trata de abrir correos electrónicos y archivos adjuntos de remitentes desconocidos.

 

Vea También

Shopify Data Breach: dos empleados deshonestos robaron datos de clientes

La plataforma de comercio electrónico en línea Shopify anunció una violación de datos después de …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.