El laboratorio de ESET ha hecho público un análisis en profundidad sobre las operaciones del grupo APT Evilnum. De acuerdo con la telemetría de ESET, el objetivo del grupo de ciberdelincuentes era atacar a compañías del ámbito de la tecnología financiera, entre las que destacan plataformas y herramientas de trading online. Aunque la mayoría de los objetivos se encuentran en la Unión Europea y Reino Unido, también se han observado ataques en Australia y Canadá. El fin primordial de Evilnum era espiar a sus objetivos y obtener información financiera tanto de las entidades a las que atacaban como de sus clientes finales.

“Aunque este malware se conocía desde 2018 y ya había sido documentado con anterioridad, hasta ahora no se había publicado suficiente información sobre el grupo que está detrás de los ataques ni sobre su modo de operar”, afirma Matias Porolli, investigador de ESET responsable del estudio. “El conjunto de herramientas de Evilnum y su infraestructura han evolucionado y ahora consisten en una mezcla de malware casero y personalizado combinado con herramientas adquiridas en Golden Chickens, un proveedor de malware como servicio con clientes tan conocidos como FIN6 o Cobalt Group”, añade.

Evilnum roba información sensible, entre la que se encuentra información sobre las tarjetas de crédito de los clientes y documentos de identidad con direcciones, hojas de cálculo y documentos con listas de clientes, operaciones de inversión y de trading, licencias de software y credenciales para plataformas y programas de trading, credenciales de correo electrónico y otros datos. El grupo también había conseguido acceso a información técnica, como configuraciones de VPN.

“El grupo accedía a sus objetivos mediante correos electrónicos dirigidos que contenían un enlace a un archivo ZIP almacenado en Google Drive. El fichero contenía varios archivos de acceso directos que extraían y ejecutaban el componente malicioso a la vez que mostraba un documento usado como señuelo”, continua Porolli. Estos documentos parecían genuinos y se utilizan de manera sistemática en las actividades actuales del grupo cada vez que buscan nuevas víctimas. Se dirigen a responsables de soporte técnico y a directores de cuentas, que normalmente reciben documentos de identidad o tarjetas de crédito de sus clientes. Como sucede con varios códigos maliciosos, se pueden enviar comandos al malware Evilnum. Entre esos comandos se encuentra uno que recoge y envía las contraseñas guardadas en Google Chrome, otro que toma capturas de pantalla, otro que detiene el malware y elimina la persistencia y otro que recoge y envía las cookies de Google Chrome a un servidor de mando y control.

“Evilnum se aprovecha de grandes infraestructuras para sus operaciones y cuenta con servidores diferentes para cada tipo de comunicación”, concluye Porolli.