In un rapporto pubblicato nei primi giorni del mese di luglio, i ricercatori di ESET affermavano che un gruppo APT che spia le vittime per ottenere informazioni finanziarie dalle aziende e dai loro clienti, aveva recentemente esteso i suoi obiettivi oltre le società britanniche e altre società europee, a società canadesi e australiane.
“Secondo la telemetria di ESET, gli obiettivi sono società di tecnologia finanziaria, ad esempio società che offrono piattaforme e strumenti per il trading online”, osservano i ricercatori. “In genere, le aziende prese di mira hanno uffici in diverse località, il che probabilmente spiega la diversità geografica degli attacchi”.
Si ritiene che il gruppo APT utilizzi una varietà di malware chiamata Evilnum, a volte definita anche CardinalRAT e CarpDownloader.
“Abbiamo rilevato e documentato questo malware già dal 2018, ma fino a oggi poco è stato detto sul gruppo che muove le fila di questo malware e su come opera – spiega Matias Porolli, ricercatore Eset – Il suo set di strumenti e l’infrastruttura si sono evoluti e ora consistono in un mix di malware personalizzati combinati con strumenti acquistati da Golden Chickens, un provider di malware-as-a-service cui si rivolgono anche altre organizzazioni illecite come FIN6 e Cobalt Group per i loro acquisti”, aggiunge.
Il primo passo della tattica di infezione di Evilnum è l’invio di e-mail di spear-phishing a rappresentanti dell’assistenza tecnica e ai gestori degli account all’interno dell’organizzazione colpita con allegati di documenti finanziari come esca. Quando la vittima apre l’e-mail, un archivio Zip estrae ed esegue un file LNK dannoso – un collegamento utilizzato in Windows – che esegue una componente JavaScript e visualizza anche un documento di richiamo, osserva il rapporto.
“I documenti utilizzati come esche sono per lo più foto di carte di credito, documenti di identità o fatture con prova dell’indirizzo, poiché molti istituti finanziari richiedono questi documenti ai loro clienti quando aderiscono, secondo le normative”, si legge nel rapporto ESET.
I ricercatori sospettano inoltre che questi documenti possano essere autentici, e potrebbero essere stati raccolti dagli attori della minaccia da varie fonti per aggiungere legittimità ai loro attacchi.
Una volta che la vittima designata clicca sul file LNK per visualizzare uno dei documenti, il malware inizia a caricarsi in background e infettare il dispositivo. Infettati con successo dispositivi e rete aziendale, il malware ruba dati aziendali sensibili, fogli di calcolo con elenchi di clienti, informazioni sulla carta di credito e altri dati personali identificabili, insieme agli investimenti dell’azienda e ai dati sulle operazioni di trading, ma anche licenze software e, ovviamente, le credenziali per vari servizi, soprattutto le piattaforme di trading. In realtà non disdegna nessun tipo di informazione: nei reparti IT di alcune aziende vittima, Evilnum è riuscito a ottenere le configurazioni VPN.
Nella fase successiva dell’attacco, le componenti JavaScript distribuiscono altro malware che gli operatori di Evilnum hanno acquistato da altri hacker, incluso il codice scritto in C# dal provider di malware-as-a-service, Golden Chickens. Gli aggressori usano anche strumenti basati su Python nei loro toolkit, aggiungono i ricercatori. Mentre la componente JavaScript funge da backdoor e gestisce le comunicazioni con il server di comando e controllo, il codice C# si dedica ad altre attività, tra cui l’acquisizione di uno screenshot ogni volta che si sposta il mouse per un certo periodo di tempo, inviando le informazioni di sistema agli operatori oltre a rubare cookie e credenziali. Infine, questo processo distrugge il malware a campagna completata.
Nella fase finale dell’attacco, infine, il gruppo distribuisce un’infrastruttura basata su Python per acquisire schermate aggiuntive, eseguire il keylogging e raccogliere dati. Il malware quindi cattura le licenze di Microsoft Office e Windows del dispositivo e le invia al server di comando e controllo.
Così come per altri codici malevoli, i comandi possono essere intercettati da Evilnum. Tra questi ci sono quelli che inviano le password salvate di Google Chrome, i comandi che eseguono gli screenshot, quelli che raccolgono e inviano i cookies, quelli che fermano il malware e rimuovono la persistenza o ancora, quelli che raccolgono e inviano i cookie di Google Chrome a un server di controllo.
Sebbene non si sappia molto su come utilizzano i dati rubati, Porolli sottolinea che la loro operazione è abbastanza redditizia da investire in componenti MaaS. Questo modello fornisce agli autori degli attacchi sia malware che un’infrastruttura che è improbabile che possano essere ricondotti a loro. “Evilnum sfrutta grandi infrastrutture per le sue operazioni utilizzando diversi server a seconda dei diversi tipi di comunicazione”, conclude Porolli.
https://www.welivesecurity.com/2020/07/09/more-evil-deep-look-evilnum-toolset/
