Зловмисники, відомі своєю націленістю на сектор фінансових технологій, принаймні з 2018 року, змінили свою тактику, включивши в неї нового трояна віддаленого доступу (RAT) на основі Python, який може красти паролі, документи, файли cookie з браузера, облікові дані електронної пошти та іншу конфіденційну інформацію.

В аналізі, опублікованому дослідниками Cybereason, група Evilnum не тільки змінила ланцюжок зараження, але також розгорнула Python RAT під назвою «PyVil RAT», який може збирати інформацію, робити знімки екрану, захоплювати дані про натискання клавіш, відкривати оболонку SSH. і запускати нові інструменти.

«З моменту появи перших звітів у 2018 році до сьогоднішнього дня хакерські групи розвивалися з використанням різних інструментів, у той час, як Evilnum продовжувала приділяти увагу саме фінансовому сектору», – заявили в компанії з кібербезпеки.

«Вони розробляли зміни ланцюжка зараження і збереження, нову інфраструктуру, яка з часом розширюється, і використання нового трояна віддаленого доступу (RAT), написаного на Python, для стеження за зараженими цілями.

За останні два роки Evilnum була пов’язана з декількома атаками проти компаній у Великобританії і ЄС з використанням бекдор, написаних на JavaScript і C #, а також за допомогою інструментів, придбаних у Golden Chickens, постачальника послуг Malware-as-a-Service.

Ще в липні було виявлено, що група хакерів розробляє атаку на компанії за допомогою цільових фішингових листів, що містять посилання на ZIP-файл, розміщений на Google Диску, для крадіжки ліцензій на програмне забезпечення, інформації про кредитні картки клієнтів, а також інвестиційних і торгових документів.

У той час як методи роботи по закріпленню в скомпрометованій системі залишаються старими, процедура зараження зазнала серйозних змін.

Крім використання цільових фішингових листів з підробленими документами «знай свого клієнта» (know your customer – KYC) для обману співробітників фінансової галузі, які змушують запускати шкідливе ПЗ, в атаках замість використання троянів на основі JavaScript з можливостями бекдора перейшли до простого дроппера JavaScript, який прихований в модифікованих версіях легітимних файлів, що виконуються в спробі уникнути виявлення.

«Цей JavaScript – перша стадія в цьому новому ланцюжку зараження, кульмінацією якої є доставка корисного навантаження, написаного на Python RAT, скомпільованого з py2exe, яку дослідники Nocturnus назвали PyVil RAT», – заявили дослідники.

Багатопроцесорна процедура доставки ( «ddpp.exe») після виконання розпаковує шелл-код для встановлення зв’язку з сервером, що контролюються зловмисником, і отримує другий зашифрований виконуваний файл ( «fplayer.exe»), який функціонує для запуску наступного етапу Python RAT.

«У попередніх кампаніях група Evilnum уникала використання доменів для зв’язку з C2, використовуючи тільки IP-адреси», – відзначили дослідники. «Хоча IP-адреса C2 змінюється кожні кілька тижнів, список доменів, пов’язаних з цим IP-адресою, продовжує зростати».

Хоча точне походження Evilnum все ще залишається неясним, очевидно, що їх постійна імпровізація і розвиток допомогли їм залишатися непоміченими.

Оскільки хакерські методи продовжують розвиватися, важливо, щоб компанії залишалися пильними, а співробітники відстежували свої електронні листи на предмет спроб фішингу та проявляли обережність, коли справа доходить до відкриття електронних листів і вкладень від невідомих відправників.

Щоб захистити себе від такого роду атак, компанія CoreWin пропонує звернути увагу на Acunetix та Arcon.