NotĂ­cias de dispositivos mĂłveis, gadgets, aplicativos Android

Evilnum APT usou a ferramenta RAT PyVil baseada em Python para espionar e roubar informações sensĂ­veis…

Recentemente, o grupo Evilnum APT usou a ferramenta RAT PyVil baseada em Python para espionar e roubar dados confidenciais; aqui, o principal motivo do grupo é espionar suas vítimas e exfiltrar todas as senhas VPN, credenciais de e-mail, vários documentos e cookies do navegador.

Grupo Evilnum APT e sua cadeia de infecção

Esta não é a primeira vez que o grupo Evilnum APT também atacou no início de 2018, mas desta vez eles apresentaram algumas novas ideias e truques para roubar todos os dados confidenciais das vítimas. O grupo Evilnum APT tem como alvo principalmente vítimas do Reino Unido e da UE, mas desta vez ataca algumas vítimas da Austrália e do Canadá.

Os especialistas afirmaram que Evilnum foi detectado usando elementos de ataque programados em JavaScript e C#; eles também usam várias ferramentas do provedor de malware como serviço Golden Chickens.

Não só isso, mas este grupo usa principalmente e-mails de spear-phishing para contornar todos os arquivos mal-intencionados, como verificações de contas de serviço, cartões de crédito e carteiras de motorista. Também inclui outros documentos de verificação necessários à gestão do conhecimento do seu cliente (KYC) no setor financeiro.

Todas essas variações cobrem uma mudança na cadeia de infecção e persistência, um novo negócio que está aumentando ao longo do tempo e o uso de um novo Trojan de acesso remoto (RAT) com script Python, Nocturnus, apelidado de PyVil RAT.

Principais conclusões

  • Atacando o Setor Financeiro
  • Desta vez, Evilnum veio com novos truques e ideias.
  • Especialistas em segurança ainda estĂŁo investigando o grupo que explora ativamente diversos setores.
  • Versões modificadas de executáveis ​​legĂ­timos, que permanecem nĂŁo detectados pelas ferramentas de segurança.
  • Especialistas descobriram um novo RAT com script Python que foi apelidado de PyVil RAT; foi combinado com py2exe, que tem a capacidade de baixar todos os novos mĂłdulos para aumentar a funcionalidade.
  • A cadeia infectada muda de um Trojan JavaScript com capacidade de backdoor para um mĂ©todo de entrega de carga Ăştil de vários processos.
NĂłs recomendamos:  Malware furtivo para Android atacando usuários mĂłveis por meio de lojas de aplicativos falsas

PyVil: novo RAT Python

O PyVil RAT permite que os invasores exfiltrem todos os dados, apliquem keylogging e façam capturas de tela. Ele também pode usar ferramentas secundárias de coleta de credenciais, como LaZagne; é um aplicativo de código aberto usado para roubar senhas armazenadas em um computador local.

PyVil RAT suporta mĂşltiplas funcionalidades

Os especialistas em segurança cibernética da Cybereason Nocturnus relatado que esta nova versão do PyVil é criada com uma infinidade de funções e aqui elas são mencionadas abaixo:-

  • Registrador de teclas
  • Executando comandos cmd
  • Tirando capturas de tela
  • Baixando mais scripts Python para funcionalidade extra
  • Descartando e fazendo upload de executáveis
  • Abrindo um shell SSH
  • Coletando todos os dados, como produtos antivĂ­rus instalados, dispositivos USB conectados e versões do Chrome.

Padrões de ataque de Evilnum A

Evilnum sempre confiou em e-mails de spear-phishing que incluem arquivos ZIP 4 Arquivos LNK. É por isso que seus padrões de ataque e a nova versão são feitos com novas ideias e truques.

Programas vulneráveis ​​usados

Os programas vulneráveis ​​usados ​​neste ataque são: –

Mitigações

Os especialistas da empresa de segurança cibernĂ©tica sugeriram algumas mitigações que devem ser aplicadas cuidadosamente pela empresa: –

  • A empresa precisa evoluir continuamente sua pilha de ferramentas de segurança para que possa erradicar com mais facilidade os truques furtivos.
  • Os funcionários das empresas nĂŁo devem abrir anexos de e-mail de redes desconhecidas.
  • As empresas comerciais nĂŁo devem baixar nenhum dado de sites duvidosos.

Além disso, os pesquisadores de segurança ainda estão tentando ao máximo contornar todas as ameaças do Evilnum e, mais importante, as empresas precisam ser cautelosas em relação a todos esses riscos.

NĂłs recomendamos:  Um guia completo sobre como gerenciar seu tempo com eficiĂŞncia

Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de segurança cibernética

Leia também:

Hackers Lazarus APT atacam organização japonesa usando ferramenta SMB remota “SMBMAP” após invasão de rede

PoetRAT – Novo Python RAT atacando o governo e o setor de energia por meio de documentos Word armados

JhoneRAT – Hackers lançam novo Python RAT baseado em nuvem para roubar dados do Google Drive, Twitter e Formulários Google