Puntano le società di tecnologia finanziaria, ancora meglio le piattaforme e gli strumenti di trading online. Preferibilmente in Unione Europea e UK. Per spiare le vittime e ottenere informazioni finanziarie dalle aziende e dai loro clienti. Sono gli obiettivi di Evilnum Group, secondo i ricercatori di ESET.
Che cosa è Evilnum
Evilnum è un malware documentato già dal 2018 e gestito da un gruppo APT (Advanced Persistente Threat, un attacco mirato ai sistemi informatici che non viene scoperto subito e resta quindi persistente nel tempo). «Abbiamo rilevato questo malware già dal 2018, ma fino a oggi poco è stato detto sul gruppo che muove le fila di questo malware e su come opera - spiega Matias Porolli, il ricercatore di ESET che conduce l’indagine su Evilnum. Il suo set di strumenti e l’infrastruttura si sono evoluti e ora consistono in un mix di malware personalizzati combinati con strumenti acquistati da Golden Chickens, un fornitore di malware-as-a-service cui si rivolgono anche altre organizzazioni illecite come FIN6 e Cobalt Group per i loro acquisti».
Quali informazioni sono a rischio
Evilnum vuole sottrarre informazioni sensibili: dati delle carte di credito e documenti di identità lato clienti finali, ma anche fogli di calcolo con le liste dei clienti, investimenti e operazioni di trading, lato azienda. Piacciono anche licenze software e, ovviamente, le credenziali per vari servizi, soprattutto le piattaforme di trading. Ma tutte le informazioni vanno bene: nei reparti IT di alcune aziende vittime, Evilnum è riuscito a ottenere le configurazioni VPN.
Non aprite allegati e file delle email
«Le aziende prescelte vengono agganciate con e-mail di spearphishing che contengono un link a un file zip caricato su Google Drive. Questo archivio contiene una serie di file di collegamento che estraggono ed eseguono componenti dannosi, mentre l’utente visualizza un documento esca – spiega Porolli. Questi documenti sembrano autentici e vengono costantemente aggiornati e utilizzati con l’obiettivo di adescare nuove vittime. Vengono indirizzati ai responsabili del supporto tecnico e agli account manager che ricevono regolarmente informazioni sensibili dai propri clienti».
Evilnum può anche intercettare i comandi, al pari di altri malware: quelli che eseguono screenshot, ad esempio, o che raccolgono cookies, quelli che fermano il malware stesso e, ovviamente, quelli che inviano le password salvate di Google Chrome.
Un approfondimento in inglese è disponibile sul blog WeLiveSecurity “More evil: a deep look at Evilnum and its toolset”.
