Dati delle carte di credito, documenti d’identità, fogli di calcolo con liste di clienti, investimenti e operazioni di trading, licenze software. Sono alcuni degli obiettivi bersaglio del malware Evilum analizzato dai ricercatori di Eset secondo cui si stanno verificando violazioni ai sistemi finanziari di aziende europee e britanniche, ma anche australiane e canadesi.
“Abbiamo rilevato e documentato questo malware già dal 2018, ma fino a oggi poco è stato detto sul gruppo che muove le fila di questo malware e su come opera – spiega Matias Porolli, ricercatore Eset -. Il suo set di strumenti e l’infrastruttura si sono evoluti e ora consistono in un mix di malware personalizzati combinati con strumenti acquistati da Golden Chickens, un fornitore di malware-as-a-service cui si rivolgono anche altre organizzazioni illecite come FIN6 e Cobalt Group per i loro acquisti”, aggiunge.
I bersagli di Evilnum
Evilnum sottrae informazioni sensibili a clienti e operatori di piattaforme di trading e a reparti IT aziendali, come ad esempio alcune configurazioni Vpn.
“Le aziende prescelte vengono agganciate con e-mail di spearphishing che contengono un link a un file zip caricato su Google Drive. Questo archivio contiene una serie di file di collegamento che estraggono ed eseguono componenti dannosi, mentre l’utente visualizza un documento esca”, spiega Porolli. Questi documenti sembrano autentici e vengono costantemente aggiornati e utilizzati con l’obiettivo di adescare nuove vittime. Vengono indirizzati ai responsabili del supporto tecnico e agli account manager che ricevono regolarmente informazioni sensibili dai propri clienti.
Così come per altri codici malevoli, i comandi possono essere intercettati da Evilnum. Tra questi ci sono quelli che inviano le password salvate di Google Chrome, i comandi che eseguono gli screenshot, quelli che raccolgono e inviano i cookies, quelli che fermano il malware e rimuovono la persistenza o ancora, quelli che raccolgono e inviano i cookie di Google Chrome a un server di controllo.
“Evilnum sfrutta grandi infrastrutture per le sue operazioni utilizzando diversi server a seconda dei diversi tipi di comunicazione”, conclude Porolli.