Centroamérica, 24 de julio de 2020. ESET, compañía líder en detección proactiva de amenazas, analizó las operaciones de Evilnum, el grupo APT (Amenaza Persistente Avanzada) detrás del malware Evilnum, que se identificó en ataques contra compañías de tecnología financiera.
Según datos aportados por la telemetría de ESET, los objetivos de Evilnum son compañías de tecnología financiera; por ejemplo, compañías que ofrecen plataformas y herramientas para realizar trading en línea. Son empresas que cuentan con oficinas en varios lugares, lo que explica la diversidad geográfica de los ataques.
El objetivo principal del grupo Evilnum es espiar y obtener información financiera tanto de las empresas a las que apunta como de sus clientes. Algunos ejemplos del tipo de información que este grupo roba son:
- Hojas de cálculo y documentos con listas de clientes, inversiones y operaciones de trading.
- Presentaciones internas.
- Licencias de software y credenciales para software/plataformas de trading.
- Cookies e información de sesión de navegadores.
- Credenciales de correo electrónico.
- Información de la tarjeta de crédito del cliente y comprobantes de documentos de domicilio/ identidad.
Este malware se identificó en el año 2018 y si bien fue documentado, no hay mucha información sobre el grupo detrás y cómo funciona. Los investigadores de ESET lo analizaron, y acercan un panorama detallado de las actividades de Evilnum. Sus objetivos son las compañías Fintech, y sus herramientas e infraestructura evolucionaron hasta estar compuesto por malware personalizado, desarrollado por el propio grupo, combinado con herramientas compradas a un proveedor de Malware-as-a-Service (MaaS). Este término se usa para describir a los creadores de malware que ofrecen no solo sus binarios maliciosos, sino también cualquier infraestructura necesaria (como los servidores de C&C) e incluso soporte técnico a los cibercriminales que tienen como clientes.
Los objetivos son alcanzados mediante correos electrónicos de spearphishing (Se trata de una estafa de suplantación de identidad dirigida vía correo electrónico que ocurre con una intención maliciosa) que contienen un enlace a un archivo ZIP alojado en Google Drive. Ese archivo contiene varios archivos LNK (también conocido como acceso directo) que extraen y ejecutan un componente JavaScript malicioso, mientras se muestra un documento utilizado como señuelo. Estos archivos de acceso directo tienen “extensiones dobles” para intentar engañar al usuario y que los abra pensando que son documentos o imágenes benignas (en Windows, las extensiones de archivo para tipos de archivo conocidos están ocultas de forma predeterminada).
“El grupo Evilnum ha estado operando durante al menos dos años y está activo al momento publicar esta información. Los objetivos son muy específicos y no numerosos. Esto, y el uso por parte del grupo de herramientas legítimas en su cadena de ataque, han mantenido sus actividades en gran medida bajo el radar. Gracias a los datos la telemetría de ESET pudimos unir los puntos y descubrir cómo funciona el grupo, descubriendo algunas áreas en común con otros grupos APT conocidos. Creemos que este y otros grupos comparten el mismo proveedor de MaaS, y que el grupo Evilnum aún no puede asociarse con ningún ataque anterior de ningún otro grupo APT.”, mencionó Matias Porolli, Analista de Malware de ESET a cargo de la investigación.
