Se ha descubierto que el grupo de piratería Evilnum utiliza herramientas avanzadas de piratería de otros colectivos criminales conocidos como Cobalt, FIN6 y otros. Este grupo de piratería en particular ha estado ejecutando campañas de alto impacto en el pasado y ha estado activo desde al menos 2018 cuando se detectaron sus primeros ataques importantes.
Herramientas avanzadas de pirateo por cobalto, FIN6 y otros ahora son utilizados por los piratas informáticos Evilnum
El Piratas informáticos Evilnum han sido vistos para ejecutar otra gran campaña contra objetivos de todo el mundo. Tradicionalmente han organizado ataques contra organizaciones financieras y empresas incluidas las nuevas empresas fintech modernas, así como plataformas de inversión y comercio en línea. El objetivo principal de los delincuentes es acceder a datos financieros confidenciales en los servidores. El siguiente tipo parece ser el foco de los hackers:
- Documentos y hojas de cálculo que contienen inversiones y operaciones comerciales.
- Presentaciones que contienen operaciones internas de la compañía.
- Credenciales de software comercial, cuentas y licencias
- Cookies de Google Chrome e información de sesión
- Datos de inicio de sesión para cuentas de correo electrónico
- Datos de la tarjeta de pago de usuarios privados y prueba de identidad
Los ataques son realizados por enviar mensajes de correo electrónico de phishing que se preparan a granel y se envían a los usuarios objetivo. Se siguen tácticas comunes, como la suplantación de servicios y empresas famosos.: notificaciones, los hackers prepararán boletines y otro tipo de contenido. En estos mensajes de correo electrónico Archivos de acceso directo LNK se adjuntará, lo que pretende ser archivos de imagen; esto se hace utilizando el técnica de doble extensión oculta — un archivo se enmascarará como un tipo de archivo, pero en lugar de ser de otro. En este caso, cuando los usuarios lo inician un código JavaScript se ejecutará. Esta técnica de entrega inicial iniciará un archivo señuelo y luego eliminará el LNK. El archivo señuelo se usa para implementar el malware deseado.
En el caso del grupo Evilnum, varios programas maliciosos desarrollados y / o utilizados previamente por Cobalt, FIN6 y otros delincuentes se entregan utilizando este enfoque.
Cómo las herramientas de piratería conocidas están siendo utilizadas por The Evilnum Gang
Una costumbre módulo de espionaje llamado Evilnum aparece en la campaña detectada que se utiliza para espiar a las víctimas cuando se ejecuta. Múltiple Pitón scripts y herramientas basadas en malware y también se utilizan durante las muestras detectadas. Uno de los malware notables es el uso de Malware Golden Chicken — un Malware-as-a-service (MaaS). Este es un conjunto de herramientas de piratería que utilizan varios delincuentes que se compra como un servicio de suscripción.
Para que sea más difícil rastrear la actividad del malware, los servidores de comando y control no tienen nombres de dominio, pero están configurados en el virus como IP directas. La lista se extrae de fuentes como GitHub, GitLab y Reddit — los piratas informáticos los mantienen utilizando cuentas especialmente creadas para este fin. El lista completa de malware que se implementa muestra que los piratas informáticos de Evilnum utilizarán los siguientes virus:
- TerraRecon — Una herramienta de hacking para recopilar información que está programada para buscar instancias específicas de hardware y software. El malware se enfoca en apuntar a proveedores y dispositivos de servicios minoristas y de pago.
- TerraStealer — Este es un ladrón de información que alternativamente se conoce como ZONA o StealerOne VenomLNK que se supone que es parte de la Kit VenomKit.
- TerraWiper — Esta es una herramienta peligrosa que está diseñada para eliminar el Master Boot Record (MBR). Cuando esto se haga, las víctimas no podrán iniciar sus computadoras correctamente.
- TerraCrypt — Este es un ransomware peligroso que, alternativamente, se conoce como PureLocker que cifrará los archivos de los usuarios objetivo con un cifrado fuerte y luego chantajeará y extorsionará a las víctimas por un pago de criptomonedas. Este ransomware es compatible con todos los sistemas operativos de escritorio modernos: Microsoft Windows, macOS y Linux.
- TerraTV — Este malware lo hará secuestrar aplicaciones TeamViewer.
- lite_more_eggs — Esta es una versión reducida de un cargador de malware.
Es evidente que este tipo de ataques complejos se seguirán organizando contra objetivos de alto impacto..