6 Shares 1838 Views 1 Comments

Desvelan las tácticas de Evilnum, un malware que ataca a entidades financieras y de trading en Europa

17 julio, 2020
6 Compartido 1,838 Visualizaciones 1

 El laboratorio de ESET ha hecho público un análisis en profundidad sobre las operaciones del grupo APT Evilnum. De acuerdo con la telemetría de ESET, el objetivo del grupo de ciberdelincuentes era atacar a compañías del ámbito de la tecnología financiera, entre las que destacan plataformas y herramientas de trading online. Aunque la mayoría de los objetivos se encuentran en la Unión Europea y Reino Unido, también se han observado ataques en Australia y Canadá. El fin primordial de Evilnum era espiar a sus objetivos y obtener información financiera tanto de las entidades a las que atacaban como de sus clientes finales.

Aunque este malware se conocía desde 2018 y ya había sido documentado con anterioridad, hasta ahora no se había publicado suficiente información sobre el grupo que está detrás de los ataques ni sobre su modo de operar”, afirma Matias Porolli, investigador de ESET responsable del estudio. “El conjunto de herramientas de Evilnum y su infraestructura han evolucionado y ahora consisten en una mezcla de malware casero y personalizado combinado con herramientas adquiridas en Golden Chickens, un proveedor de malware como servicio con clientes tan conocidos como FIN6 o Cobalt Group”, añade.

Evilnum roba información sensible, entre la que se encuentra información sobre las tarjetas de crédito de los clientes y documentos de identidad con direcciones, hojas de cálculo y documentos con listas de clientes, operaciones de inversión y de trading, licencias de software y credenciales para plataformas y programas de trading, credenciales de correo electrónico y otros datos. El grupo también había conseguido acceso a información técnica, como configuraciones de VPN.

El grupo accedía a sus objetivos mediante correos electrónicos dirigidos que contenían un enlace a un archivo ZIP almacenado en Google Drive. El fichero contenía varios archivos de acceso directos que extraían y ejecutaban el componente malicioso a la vez que mostraba un documento usado como señuelo”, continua Porolli. Estos documentos parecían genuinos y se utilizan de manera sistemática en las actividades actuales del grupo cada vez que buscan nuevas víctimas. Se dirigen a responsables de soporte técnico y a directores de cuentas, que normalmente reciben documentos de identidad o tarjetas de crédito de sus clientes. Como sucede con varios códigos maliciosos, se pueden enviar comandos al malware Evilnum. Entre esos comandos se encuentra uno que recoge y envía las contraseñas guardadas en Google Chrome, otro que toma capturas de pantalla, otro que detiene el malware y elimina la persistencia y otro que recoge y envía las cookies de Google Chrome a un servidor de mando y control.

Evilnum se aprovecha de grandes infraestructuras para sus operaciones y cuenta con servidores diferentes para cada tipo de comunicación”, concluye Porolli.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Una startup de ciberseguridad en Huesca atrae inversión portuguesa e israelita
Actualidad
56 compartido1,362 visualizaciones
Actualidad
56 compartido1,362 visualizaciones

Una startup de ciberseguridad en Huesca atrae inversión portuguesa e israelita

José Luis - 13 febrero, 2018

Continuum Security recauda 1,5 millones de euros de inversión de Swanlaab, JME y Sonae IM. Continuum Security, una empresa de…

Zuckerberg se disculpa ante la Eurocámara
Actualidad
13 compartido2,057 visualizaciones
Actualidad
13 compartido2,057 visualizaciones

Zuckerberg se disculpa ante la Eurocámara

Samuel Rodríguez - 28 mayo, 2018

Zuckerberg pide perdón por el escándalo de Cambridge Analytica que provocó inquietud por el uso de los datos por parte…

La Policía se une a los hackers de hackrocks para enseñar ciberseguridad en C1b3rwall Challenge
Actualidad
5 compartido1,561 visualizaciones
Actualidad
5 compartido1,561 visualizaciones

La Policía se une a los hackers de hackrocks para enseñar ciberseguridad en C1b3rwall Challenge

Aina Pou Rodríguez - 26 febrero, 2021

Es la continuación de la iniciativa formativa de Policía Nacional en ciberseguridad, después del éxito que obtuvo C1b3rwall Academy La…

Un comentario

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.