Pesquisadores da Cybereason divulgaram na última quarta-feira (3) mais uma atividade do grupo Evilnum visando o mercado de fintech, por meio do uso de malware escrito em Python. Os ataques se aproveitam do procedimento KYC (Know Your Customer), utilizado para comprovação da identificação do cliente nas empresas financeiras para começar a infecção, visando a obtenção de informações como senhas, documentos, credenciais de e-mail, cookies do navegador, e etc.

Desta vez, os pesquisadores da Cybereason identificaram mudanças no procedimento para infecção. O grupo substituiu a entrega de arquivos LNK dentro de um arquivo zip por um único arquivo LNK mascarado como um PDF, contendo vários documentos com dados pessoais de usuários. Ao ser aberto, o arquivo LNK é executado e um arquivo JavaScript gravado e executado no disco, substituindo o arquivo LNK por um PDF.

Evilnum4_2.jpg

Sequência de etapas da infecção realizada pelo grupo Evilnum. Imagem: Cybereason/Divulgação

Após a primeira atividade em 2018, o grupo vem modificando as ferramentas para abordagem, desenvolvendo componentes para os ataques em Javascript e C#. Além do uso de ferramentas adquiridas do provedor Malware-as-a-Service Golden Chickens.

Outra mudança apontada pelos pesquisadores da Cybereason está no JavaScript atuando como entregador de um trojan de acesso remoto (RAT) escrito em Python e denominado pelos pesquisadores como RAT PyVil. Este script se insere em camadas extras evitando ser descoberto

O código desenvolvido pelo grupo tem diversas funcionalidades, como a de executar comandos cmd no Windows, realizar capturas de tela, baixar mais scripts Python para adicionar funcionalidades, coletar informações da máquina com o antivírus instalado, e etc.

A Cybereason afirma que apesar das mudanças quanto a abordagem, o grupo permanece tendo como alvo as fintechs, principalmente no Reino Unido e em outros países da União Europeia.

 

Fonte: Cybereason