Investigadores de Proofpoint han publicado un informe en el que detallan los ataques del grupo de ciberdelincuencia TA4563 a entidades financieras y de inversión europeas con el malware conocido como EvilNum/DeathStalker. Se trata de un tipo de virus backdoor que puede utilizarse para reconocimiento, robo de datos o payloads adicionales, e incluye múltiples componentes que ayudan a evadir su detección y modificar rutas de infección en función del software antivirus identificado, ya sea Avast, AVG o Windows Defender.
Desde 2021 hasta ahora, las campañas de TA4563 se han dirigido principalmente a la industria de las finanzas descentralizadas (DeFi) con soporte en operaciones de cambios de divisas y criptomonedas. En estos ataques se ha empleado una versión actualizada del malware EvilNum junto a una mezcla variada de archivos ISO, Microsoft Word y Shortcut (LNK), presumiblemente a fin de probar la eficacia de los métodos de entrega. De esta manera, los ciberdelincuentes pueden experimentar qué es lo que les funciona y tener mayor probabilidad de éxito.
Los correos electrónicos maliciosos analizados por Proofpoint tenían como asunto algún tema relacionado con el registro a plataformas de trading financiero, llegando a sugerir a alguna víctima que tenía que presentar pruebas de propiedad de documentos perdidos. Cada vez hay más personas que conocen y apuestan por recursos financieros descentralizados y criptomonedas. Son sectores nuevos, poco regulados y en los que se usan tecnologías que pueden no estar debidamente protegidas. Todo ello hace que aumente el número de potenciales víctimas con estos ataques.
«Las organizaciones financieras, especialmente aquellas que operan en Europa y están interesadas en las criptomonedas, deben tomar consciencia de la actividad maliciosa del grupo TA4563. El desarrollo del malware de EvilNum está en activo y, desde Proofpoint, vemos que seguirá habiendo casos a medida que avancemos en el verano», comenta Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de la compañía.
Desde Proofpoint recomiendan a las organizaciones que formen a sus empleados en seguridad para que puedan identificar e informar sobre correos sospechosos. Asimismo, en el caso de ataques como los que analiza este informe sobre TA4563, es importante implementar herramientas que restrinjan el uso de archivos contenedores como los ISO y LNK, especialmente si son descargados de internet, además de bloquear la descarga y el acceso a los archivos RTF desde Word cuando proceda.
