Οι ερευνητές της ESET δημοσιεύσαν μια εις βάθος ανάλυση της δραστηριότητας της ομάδας κυβερνοεγκληματιών Evilnum, της ομάδας APT (advanced persistent threat) που βρίσκεται πίσω από το malware Evilnum.
Σύμφωνα με τα δεδομένα τηλεμετρίας της ESET, η ομάδα Evilnum έχει εστιάσει τις επιθέσεις της σε εταιρείες χρηματοοικονομικής τεχνολογίας. Οι περισσότεροι στόχοι βρίσκονται στην Ευρωπαϊκή Ένωση και το Ηνωμένο Βασίλειο, εντούτοις, η ESET έχει εντοπίσει και άλλες επιθέσεις σε Αυστραλία και Καναδά. 
Η Ομάδα Evilnum παρακολουθεί στενά τους υποψήφιους στόχους της ώστε να συγκεντρώσει χρηματοοικονομικές πληροφορίες που αφορούν την εταιρεία αλλά και τους πελάτες της.
«Ενώ το malware Evilnum έχει εντοπιστεί “in the wild” τουλάχιστον από το 2018, οι πληροφορίες που έχουν δημοσιευτεί για την ομάδα που βρίσκεται πίσω από το malware και το πώς αυτή λειτουργεί είναι ελάχιστες» δήλωσε Matias Porolli, ο ερευνητής της ESET που ηγείται της έρευνας για την ομάδα Evilnum. «Το σύνολο των εργαλείων και η υποδομή που χρησιμοποιεί έχουν εξελιχθεί και αποτελούνται πλέον από ένα συνδυασμό αυτοσχέδιου κακόβουλου λογισμικού και εργαλείων που αγοράστηκαν από την Golden Chickens, τον πάροχο Malware-as-a-Service (MaaS) στους κακόβουλους πελάτες του οποίου συγκαταλέγονται οι ομάδες FIN6 και Cobalt Group» συμπληρώνει.
Το Evilnum κλέβει ευαίσθητες πληροφορίες, στοιχεία πιστωτικών καρτών και διευθύνσεων και στοιχεία ταυτότητας, υπολογιστικά φύλλα και έγγραφα με λίστες πελατών, έγραφα επενδύσεων και συναλλαγών, άδειες λογισμικού και διαπιστευτήρια για λογισμικό συναλλαγών και πλατφόρμες, στοιχεία email, και άλλα δεδομένα. Η ομάδα έχει αποκτήσει πρόσβαση και σε πληροφορίες που σχετίζονται με την υποδομή IT, όπως διαμορφώσεις VPN.
«Η ομάδα προσεγγίζει τους στόχους της με phishing email που περιέχουν σύνδεσμο για ένα αρχείο .zip το οποίο φιλοξενείται στο Google Drive. Το αρχείο αυτό περιέχει πολλά αρχεία shortcut τα οποία εξάγουν και εκτελούν ένα κακόβουλο στοιχείο ενώ εμφανίζουν ένα έγγραφο-δόλωμα» εξηγεί ο Porolli.
Αυτά τα έγραφα μοιάζουν να είναι αυθεντικά, και συλλέγονται διαρκώς κατά τη διάρκεια των κακόβουλων επιχειρήσεων της ομάδας καθώς χάρη σε αυτά θα προσπαθήσουν να προσεγγίσουν νέα θύματα. Η ομάδα Evilnum στοχοποιεί αντιπροσώπους τεχνικής υποστήριξης και διαχειριστές λογαριασμών, οι οποίοι λαμβάνουν τακτικά έγραφα με στοιχεία ταυτοποίησης και πιστωτικών καρτών από τους πελάτες τους.
Όπως συμβαίνει με πολλά κακόβουλα λογισμικά, οι εντολές μπορούν να αποσταλούν στο malware Evilnum. Μεταξύ άλλων υπάρχουν εντολές για τη συλλογή και αποστολή των κωδικών πρόσβασης (passwords) που είναι αποθηκευμένα στο Google Chrome, συλλογή και αποστολή Google Chrome cookies, λήψη screenshots, διακοπή του malware και αφαίρεση.
“Το Evilnum βασίζει τη λειτουργία του σε σημαντικές υποδομές, που περιλαμβάνουν αρκετούς διαφορετικούς servers για διαφορετικές μορφές επικοινωνίας ” καταλήγει ο Porolli.
Για περισσότερες τεχνικές λεπτομέρειες σχετικά με το malware Evilnum και την ομάδα APT, επισκεφθείτε το σχετικό blogpost στο WeLiveSecurity.
