Recentemente, o grupo Evilnum APT usou a ferramenta RAT PyVil baseada em Python para espionar e roubar dados confidenciais; aqui, o principal motivo do grupo Ă© espionar suas vĂtimas e exfiltrar todas as senhas VPN, credenciais de e-mail, vários documentos e cookies do navegador.
Grupo Evilnum APT e sua cadeia de infecção
Esta nĂŁo Ă© a primeira vez que o grupo Evilnum APT tambĂ©m atacou no inĂcio de 2018, mas desta vez eles apresentaram algumas novas ideias e truques para roubar todos os dados confidenciais das vĂtimas. O grupo Evilnum APT tem como alvo principalmente vĂtimas do Reino Unido e da UE, mas desta vez ataca algumas vĂtimas da Austrália e do Canadá.
Os especialistas afirmaram que Evilnum foi detectado usando elementos de ataque programados em JavaScript e C#; eles também usam várias ferramentas do provedor de malware como serviço Golden Chickens.
Não só isso, mas este grupo usa principalmente e-mails de spear-phishing para contornar todos os arquivos mal-intencionados, como verificações de contas de serviço, cartões de crédito e carteiras de motorista. Também inclui outros documentos de verificação necessários à gestão do conhecimento do seu cliente (KYC) no setor financeiro.
Todas essas variações cobrem uma mudança na cadeia de infecção e persistência, um novo negócio que está aumentando ao longo do tempo e o uso de um novo Trojan de acesso remoto (RAT) com script Python, Nocturnus, apelidado de PyVil RAT.
Principais conclusões
- Atacando o Setor Financeiro
- Desta vez, Evilnum veio com novos truques e ideias.
- Especialistas em segurança ainda estão investigando o grupo que explora ativamente diversos setores.
- Versões modificadas de executáveis ​​legĂtimos, que permanecem nĂŁo detectados pelas ferramentas de segurança.
- Especialistas descobriram um novo RAT com script Python que foi apelidado de PyVil RAT; foi combinado com py2exe, que tem a capacidade de baixar todos os novos mĂłdulos para aumentar a funcionalidade.
- A cadeia infectada muda de um Trojan JavaScript com capacidade de backdoor para um método de entrega de carga útil de vários processos.
PyVil: novo RAT Python
O PyVil RAT permite que os invasores exfiltrem todos os dados, apliquem keylogging e façam capturas de tela. Ele também pode usar ferramentas secundárias de coleta de credenciais, como LaZagne; é um aplicativo de código aberto usado para roubar senhas armazenadas em um computador local.
PyVil RAT suporta mĂşltiplas funcionalidades
Os especialistas em segurança cibernética da Cybereason Nocturnus relatado que esta nova versão do PyVil é criada com uma infinidade de funções e aqui elas são mencionadas abaixo:-
- Registrador de teclas
- Executando comandos cmd
- Tirando capturas de tela
- Baixando mais scripts Python para funcionalidade extra
- Descartando e fazendo upload de executáveis
- Abrindo um shell SSH
- Coletando todos os dados, como produtos antivĂrus instalados, dispositivos USB conectados e versões do Chrome.
Padrões de ataque de Evilnum A
Evilnum sempre confiou em e-mails de spear-phishing que incluem arquivos ZIP 4 Arquivos LNK. É por isso que seus padrões de ataque e a nova versão são feitos com novas ideias e truques.
Programas vulneráveis ​​usados
Os programas vulneráveis ​​usados ​​neste ataque são: –
Mitigações
Os especialistas da empresa de segurança cibernĂ©tica sugeriram algumas mitigações que devem ser aplicadas cuidadosamente pela empresa: –
- A empresa precisa evoluir continuamente sua pilha de ferramentas de segurança para que possa erradicar com mais facilidade os truques furtivos.
- Os funcionários das empresas não devem abrir anexos de e-mail de redes desconhecidas.
- As empresas comerciais nĂŁo devem baixar nenhum dado de sites duvidosos.
Além disso, os pesquisadores de segurança ainda estão tentando ao máximo contornar todas as ameaças do Evilnum e, mais importante, as empresas precisam ser cautelosas em relação a todos esses riscos.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de segurança cibernética
Leia também:
Hackers Lazarus APT atacam organização japonesa usando ferramenta SMB remota “SMBMAP” após invasão de rede
PoetRAT – Novo Python RAT atacando o governo e o setor de energia por meio de documentos Word armados
JhoneRAT – Hackers lançam novo Python RAT baseado em nuvem para roubar dados do Google Drive, Twitter e Formulários Google