Злоумышленник, известный своей нацеленностью на сектор финансовых технологий, по крайней мере с 2018 года, изменил свою тактику, включив в него нового трояна удалённого доступа (RAT) на основе Python, который может красть пароли, документы, файлы cookie с браузера, учётные данные электронной почты и другую конфиденциальную информацию.

В анализе, опубликованном исследователями Cybereason, группа Evilnum не только изменила свою цепочку заражения, но также развернула Python RAT под названием «PyVil RAT», который обладает способностями собирать информацию, делать снимки экрана, захватывать данные о нажатиях клавиш, открывать оболочку SSH. и развернуть новые инструменты.

«С момента появления первых отчётов в 2018 году до сегодняшнего дня хакерские группы развивались с использованием различных инструментов, в то время как Evilnum продолжала уделять внимание именно финансовому сектору», — заявили в компании по кибербезопасности.

«Они разрабатывали изменение цепочки заражения и сохранения, новую инфраструктуру, которая со временем расширяется, и использование нового трояна удалённого доступа (RAT), написанного на Python, для слежки за заражёнными целями.

За последние два года Evilnum был связан с несколькими вредоносными против компаний в Великобритании и ЕС с использованием бэкдоров, написанных на JavaScript и C #, а также с помощью инструментов, приобретённых у Golden Chickens, поставщика услуг Malware-as-a-Service.

Ещё в июле было обнаружено, что группа хакеров разрабатывает атаку на компании с помощью целевых фишинговых писем, содержащих ссылку на ZIP-файл, размещённый на Google Диске, для кражи лицензий на программное обеспечение, информации о кредитных картах клиентов, а также инвестиционных и торговых документов.

В то время как методы работы по закреплению в скомпрометированной системе остаются прежними, процедура заражения претерпела серьёзные изменения.

Помимо использования целевых фишинговых писем с поддельными документами «знай своего клиента» (know your customer — KYC) для обмана сотрудников финансовой отрасли, заставляющих запускать вредоносное ПО, в атаках вместо использования троянов на основе JavaScript с возможностями бэкдора перешли к простому дропперу JavaScript, который скрытый в модифицированных версиях легитимных исполняемых файлов в попытке избежать обнаружения.

«Этот JavaScript — первая стадия в этой новой цепочке заражения, кульминацией которой является доставка полезной нагрузки, написанного на Python RAT, скомпилированного с py2exe, которую исследователи Nocturnus назвали PyVil RAT», — заявили исследователи.

Многопроцессорная процедура доставки («ddpp.exe») после выполнения распаковывает шелл-код для установления связи с сервером, контролируемым злоумышленником, и получает второй зашифрованный исполняемый файл («fplayer.exe»), который функционирует как загрузчик следующего этапа для извлечения Python RAT.

«В предыдущих кампаниях группа Evilnum избегала использования доменов для связи с C2, используя только IP-адреса», — отметили исследователи. «Хотя IP-адрес C2 меняется каждые несколько недель, список доменов, связанных с этим IP-адресом, продолжает расти».

Хотя точное происхождение Evilnum все ещё остаётся неясным, очевидно, что их постоянная импровизация и развитие помогли им оставаться незамеченными.

Поскольку хакерские методы продолжают развиваться, важно, чтобы компании оставались бдительными, а сотрудники отслеживали свои электронные письма на предмет попыток фишинга и проявляли осторожность, когда дело доходит до открытия электронных писем и вложений от неизвестных отправителей.

Чтобы защитить себя от такого рода атак, компания CoreWin предлагает Acunetix и Arcon.