GEEK ShopAutoresContacto

EVILNUM, grupo que dirige ataques a FINTECH

Por ESET Tecnología
Publicado en zNoticias
August 04, 2020
4 min lectura
EVILNUM, grupo que dirige ataques a FINTECH

Los hackers de Evilnum usan el mismo proveedor de malware que FIN6, Cobalt. Los hackers del grupo Evilnum han desarrollado un conjunto de herramientas que combina malware personalizado, utilidades legítimas y herramientas compradas a un proveedor de malware como servicio (MaaS) que atiende a grandes actores de amenazas fintech.

Evilnum

El grupo ha estado activo desde al menos 2018 y se enfoca en compañías del sector de tecnología financiera que ofrecen plataformas comerciales y de inversión. Sus objetivos son ambos, las empresas y sus clientes, con el objetivo de robar información financiera. Una investigación sobre la actividad de Evilnum de la compañía de seguridad cibernética ESET revela que están buscando el siguiente tipo de datos:

  • Hojas de cálculo y documentos con listas de clientes, inversiones y operaciones de trading.
  • Presentaciones internas
  • Licencias de software y credenciales para software/plataformas de trading
  • Cookies e información de sesión de navegadores
  • Credenciales de correo electrónico
  • Información de la tarjeta de crédito del cliente y comprobantes de documentos de domicilio/ identidad

Los ataques comienzan con correos electrónicos de spearphishing (Se trata de una estafa de suplantación de identidad dirigida vía correo electrónico que ocurre con una intención maliciosa) que contienen un enlace a un archivo ZIP alojado en Google Drive. Ese archivo contiene varios archivos LNK (también conocido como acceso directo) que fingen ser una imagen o un documento (doble extensión). Cuando el usuario víctima lo abre, se ejecuta un componente JavaScript malicioso.

Una vez que se abre un archivo de acceso directo, busca en los contenidos de su propio archivo líneas con un marcador específico y las escribe en un archivo .js. Luego, este archivo JavaScript malicioso es ejecutado y, además de abrir, escribe un archivo señuelo con el mismo nombre que el acceso directo, pero con la extensión correcta. También elimina el archivo de acceso directo. Los documentos utilizados como señuelo son principalmente fotos de tarjetas de crédito, documentos de identidad o facturas con comprobante de domicilio, ya que muchas instituciones financieras requieren estos documentos de sus clientes cuando se unen.

JavaScript

El componente JavaScript (también conocido como Evilnum) es la primera etapa del ataque y puede distribuir otro malware, como un componente espía, malware de Golden Chickens MaaS y múltiples herramientas basadas en Python. Cada uno de los diversos componentes tiene su propio servidor C&C, y cada componente funciona de manera independiente. Los operadores del malware envían comandos manualmente para instalar componentes adicionales y usan scripts y herramientas post-compromiso en caso de considerarlo necesario.

Otro componente escrito en C#, que es el malware que dio el nombre Evilnum al grupo; porque la versión 1.3 de mayo de 2018 calculó la dirección C2 dividiendo a 666 un valor numérico de una página web pública, tiene una funcionalidad similar con el JavaScript de primera etapa . Los desarrolladores lo llaman Marvel y en abril estaban usando la versión 4.0.

Versión 4.0

Dentro de la versión 4.0 están presentes las siguientes capacidades:

  • Toma capturas de pantalla si el mouse ha sido movido en un período de tiempo y las envía, codificadas en base64, al C&C. La imagen es almacenada en un archivo llamado SC4.P7D
  • Ejecuta comandos
  • Ejecuta otros binarios a través de cmd.exe
  • Envía información, como el nombre de la computadora, nombre de usuario y antivirus instalado
  • Persiste en un sistema comprometido creando claves de registro

Según datos aportados por la telemetría de ESET, los objetivos de Evilnum son compañías de tecnología financiera; por ejemplo, compañías que ofrecen plataformas y herramientas para realizar trading en línea. La mayoría de los objetivos se encuentran en países de la UE y el Reino Unido, también se identificaron ataques en países como Australia y Canadá y, por lo general, son empresas que cuentan con oficinas en varios lugares, lo que explica la diversidad geográfica de los ataques.

El grupo Evilnum ha estado operando durante al menos dos años y está activo al momento publicar esta información. Los objetivos son muy específicos y no numerosos. Esto, y el uso por parte del grupo de herramientas legítimas en su cadena de ataque, han mantenido sus actividades en gran medida bajo el radar. Gracias a los datos la telemetría de ESET pudimos unir los puntos y descubrir cómo funciona el grupo, descubriendo algunas áreas en común con otros grupos APT conocidos. Creemos que este y otros grupos comparten el mismo proveedor de MaaS, y que el grupo Evilnum aún no puede asociarse con ningún ataque anterior de ningún otro grupo APT.

Matias Porolli, Analista de Malware de ESET a cargo de la investigación.

Una combinación de herramientas personalizadas, MaaS y públicas

Evilnum establece una operación sólida donde varios componentes maliciosos se ejecutan de forma independiente y se conectan a diferentes servidores de comando y control (C2) para recibir comandos y herramientas posteriores al compromiso de los hackers.

evilnum-grupo-que-dirige-ataques-a-fintech-1.jpg

ESET señala que la mayoría de los servidores C2 no tienen un nombre de dominio y se identifican solo por su dirección IP. Los servidores para los componentes de Golden Chicken hacen una excepción. Otra cosa interesante es que las direcciones C2 se extraen de las páginas de GitHub, GitLab y Reddit que se han creado específicamente para esta tarea.

Las herramientas y la infraestructura de Golden Chickens MaaS son utilizadas por grupos de amenazas infames que se centran en el sector fintech, como FIN6 y Cobalt, y TrickBot, lo que provoca una superposición de tácticas, técnicas y procedimientos (TTP).

Herramientas para reconocimiento

El año pasado, la startup de ciberinteligencia QuoIntelligence descubrió que Golden Chickens proporcionaba siete nuevas herramientas para el reconocimiento, el robo de información, los ataques de ransomware, la eliminación de MBR y la carga de malware:

  • TerraRecon: herramienta de reconocimiento que busca hardware y software específicos utilizados por empresas que operan en los sectores minorista y de servicios de pago.
  • TerraStealer: ladrón de información, también conocido como SONE o StealerOne VenomLNK; una variante de malware probablemente generada por una versión más nueva del kit de construcción VenomKit
  • TerraWiper: limpiador de registro de arranque maestro (MBR)
  • TerraCrypt Un ransomware, también conocido como PureLocker, que puede bloquear archivos en Windows, Linux y macOS
  • TerraTV. Una DLL personalizada diseñada para secuestrar aplicaciones legítimas de TeamViewer
  • lite_more_eggs. Una versión lite de more_eggs utilizada como cargador

Según ESET, Evilnum utiliza ampliamente las herramientas de Golden Chickens, con el cuentagotas TerraLoader. Entre las cargas útiles entregadas de esta manera se encuentran more_eggs, TerraStealer, TerraTV y TerraPreter (descifra una instancia de Meterpreter y la ejecuta en la memoria).

En el arsenal posterior al compromiso se encuentran herramientas basadas en Python para un shell inverso, proxy SSL, la utilidad de recuperación de contraseña LaZagne e IronPython. El conjunto de herramientas se completa con los scripts de PowerShell para evitar los controles de seguridad y las utilidades de NirSoft para extraer contraseñas de clientes de correo electrónico y licencias de Microsoft Office y Windows.

ESET evalúa que la pequeña cantidad de objetivos específicos combinados con el uso de herramientas legítimas han mantenido las actividades de Evilnum en gran medida sin ser detectadas. La actualización frecuente de los componentes maliciosos también contribuye al sigilo de las operaciones.

Una lista con indicadores de compromiso (IoC) está disponible en el repositorio GitHub de ESET.


Tags

Noticias

Compartir


Artículo Anterior
Fallos de seguridad en COVID trackers
ESET Tecnología

ESET Tecnología

Artículos Relacionados

G-SHOCK: Tecnología Verde para Combatir el Cambio Climático | Innovación en Relojes Sostenibles
May 29, 2023
2 min
© 2023, Todos los derechos reservados.
Powered By

Atajos

Creador de contenidoMedia KitChatea con nosotros

Social Media