Evilnum, un malware que ataca a entidades financieras y de trading en Europa

Evilnum roba información sensible, entre la que se encuentra información sobre las tarjetas de crédito de los clientes

Publicado el 09 Jul 2020

NEW YORK, NY - MAY 06: A trader works on the floor of the New York Stock Exchange on May 6, 2013 in New York City. Following a week where the Dow Jones industrial average closed at record highs, U.S. stocks were down slightly after the opening bell. (Photo by Spencer Platt/Getty Images)

El laboratorio de ESET ha hecho público un análisis en profundidad sobre las operaciones del grupo APT Evilnum. De acuerdo con la telemetría de ESET, el objetivo del grupo de ciberdelincuentes era atacar a compañías del ámbito de la tecnología financiera, entre las que destacan plataformas y herramientas de trading online. Aunque la mayoría de los objetivos se encuentran en la Unión Europea y Reino Unido, también se han observado ataques en Australia y Canadá. El fin primordial de Evilnum era espiar a sus objetivos y obtener información financiera tanto de las entidades a las que atacaban como de sus clientes finales.

Aunque este malware se conocía desde 2018 y ya había sido documentado con anterioridad, hasta ahora no se había publicado suficiente información sobre el grupo que está detrás de los ataques ni sobre su modo de operar”, afirma Matias Porolli, investigador de ESET responsable del estudio. “El conjunto de herramientas de Evilnum y su infraestructura han evolucionado y ahora consisten en una mezcla de malware casero y personalizado combinado con herramientas adquiridas en Golden Chickens, un proveedor de malware como servicio con clientes tan conocidos como FIN6 o Cobalt Group”, añade.

Evilnum roba información sensible, entre la que se encuentra información sobre las tarjetas de crédito de los clientes y documentos de identidad con direcciones, hojas de cálculo y documentos con listas de clientes, operaciones de inversión y de trading, licencias de software y credenciales para plataformas y programas de trading, credenciales de correo electrónico y otros datos. El grupo también había conseguido acceso a información técnica, como configuraciones de VPN.

El grupo accedía a sus objetivos mediante correos electrónicos dirigidos que contenían un enlace a un archivo ZIP almacenado en Google Drive. El fichero contenía varios archivos de acceso directos que extraían y ejecutaban el componente malicioso a la vez que mostraba un documento usado como señuelo”, continua Porolli. Estos documentos parecían genuinos y se utilizan de manera sistemática en las actividades actuales del grupo cada vez que buscan nuevas víctimas. Se dirigen a responsables de soporte técnico y a directores de cuentas, que normalmente reciben documentos de identidad o tarjetas de crédito de sus clientes. Como sucede con varios códigos maliciosos, se pueden enviar comandos al malware Evilnum. Entre esos comandos se encuentra uno que recoge y envía las contraseñas guardadas en Google Chrome, otro que toma capturas de pantalla, otro que detiene el malware y elimina la persistencia y otro que recoge y envía las cookies de Google Chrome a un servidor de mando y control.

Evilnum se aprovecha de grandes infraestructuras para sus operaciones y cuenta con servidores diferentes para cada tipo de comunicación”, concluye Porolli.

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

T
Redacción TICPymes

Artículos relacionados