I ricercatori di ESET stanno per rilasciare un’analisi approfondita sul modo di operare di Evilnum, il gruppo APT che opera dietro le fila del malware. Secondo la telemetria di ESET, gli obiettivi cui puntano sono le società di tecnologia finanziaria – ad esempio piattaforme o strumenti di trading online. Anche se le aziende maggiormente colpite fanno parte della UE e del Regno Unito, ESET ha riscontrato una serie di violazioni anche in paesi come l’Australia e il Canada. L’obiettivo principale del gruppo Evilnum è quello di spiare le vittime prescelte e ottenere informazioni finanziarie sia dalle aziende prese di mira che dai loro clienti.
“Abbiamo rilevato e documentato questo malware già dal 2018, ma fino a oggi poco è stato detto sul gruppo che muove le fila di questo malware e su come opera,” spiega Matias Porolli, il ricercatore di ESET che conduce l’indagine su Evilnum. “Il suo set di strumenti e l’infrastruttura si sono evoluti e ora consistono in un mix di malware personalizzati combinati con strumenti acquistati da Golden Chickens, un fornitore di malware-as-a-service cui si rivolgono anche altre organizzazioni illecite come FIN6 e Cobalt Group per i loro acquisti”, aggiunge.
Evilnum sottrae informazioni sensibili, tra cui i dati delle carte di credito e documenti d’identità dei clienti, fogli di calcolo con le liste dei clienti, investimenti e operazioni di trading; licenze software e credenziali sia per il software che per le piattaforme di trading; dati di accesso alle e-mail e altre informazioni simili.
Il gruppo è anche riuscito a sottrarre informazioni dai reparti IT, come ad esempio alcune configurazioni VPN.
“Le aziende prescelte vengono agganciate con e-mail di spearphishing che contengono un link a un file zip caricato su Google Drive. Questo archivio contiene una serie di file di collegamento che estraggono ed eseguono componenti dannosi, mentre l’utente visualizza un documento esca”, spiega Porolli. Questi documenti sembrano autentici e vengono costantemente aggiornati e utilizzati con l’obiettivo di adescare nuove vittime. Vengono indirizzati ai responsabili del supporto tecnico e agli account manager che ricevono regolarmente informazioni sensibili dai propri clienti.
Così come per altri codici malevoli, i comandi possono essere intercettati da Evilnum. Tra questi ci sono quelli che inviano le password salvate di Google Chrome, i comandi che eseguono gli screenshot, quelli che raccolgono e inviano i cookies, quelli che fermano il malware e rimuovono la persistenza o ancora, quelli che raccolgono e inviano i cookie di Google Chrome a un server di controllo.
“Evilnum sfrutta grandi infrastrutture per le sue operazioni utilizzando diversi server a seconda dei diversi tipi di comunicazione”, conclude Porolli.
Per maggiori dettagli sul malware Evilnum e sul gruppo APT, consultare il blog WeLiveSecurity “More evil: a deep look at Evilnum and its toolset”.