Clicky

Hackers de Evilnum apuntan a empresas financieras con un nuevo RAT basado en Python

Categoría: Seguridad
Visitas: 1000
Evilnum

PyVil RAT puede robar contraseñas, documentos, cookies del navegador y más

Un conocido adversario por apuntar al sector tecnológico/financiero al menos desde 2018 ha cambiado sus tácticas para incluir un nuevo troyano de acceso remoto (RAT) basado en Python que puede robar contraseñas, documentos, cookies del navegador, credenciales de correo electrónico y otra información confidencial.

En un análisis publicado ayer por los investigadores de Cybereason, el grupo Evilnum no solo ha modificado su cadena de infección, sino que también ha implementado un RAT de Python llamado "PyVil RAT", que posee capacidades para recopilar información, tomar capturas de pantalla, capturar datos de pulsaciones de teclas, abrir un shell SSH e implementar nuevas herramientas.

"Desde los primeros informes en 2018 hasta hoy, las TTPs (Tactics, Techniques, and Procedures) del grupo han evolucionado con diferentes herramientas, mientras que el grupo ha seguido enfocándose en los objetivos tecnológicos/financieros", dijo la firma de ciberseguridad.

"Estas variaciones incluyen un cambio en la cadena de infección y persistencia, nueva infraestructura que se expande con el tiempo y el uso de un nuevo troyano de acceso remoto (RAT) con script de Python" para espiar a sus objetivos infectados.

Durante los últimos dos años, Evilnum se ha vinculado a varias campañas de malware contra empresas en el Reino Unido y la UE que involucran puertas traseras escritas en JavaScript y C #, así como a través de herramientas compradas al proveedor de malware como servicio Golden Chickens.

web malware

En julio se descubrió que el grupo APT apuntaba a empresas con correos electrónicos de spear-phishing que contenían un enlace a un archivo ZIP alojado en Google Drive para robar licencias de software, información de tarjetas de crédito de clientes y documentos de inversión y comercio.

Si bien el modus operandi de lograr un punto de apoyo inicial en el sistema comprometido sigue siendo el mismo, el procedimiento de infección ha experimentado un cambio importante.

Además de usar correos electrónicos de spear-phishing con documentos falsos de "conozca a su cliente" (KYC) para engañar a los empleados de la industria financiera para que activen el malware, los ataques se han alejado del uso de troyanos basados en JavaScript con capacidades de puerta trasera a un simple cuentagotas de JavaScript que entrega cargas útiles maliciosas ocultas en versiones modificadas de ejecutables legítimos en un intento por escapar de la detección.

"Este JavaScript es la primera etapa en esta nueva cadena de infección, que culmina con la entrega de la carga útil, un RAT escrito en Python compilado con py2exe que los investigadores de Nocturnus denominaron PyVil RAT", dijeron los investigadores.

proceso de hacking

El procedimiento de entrega multiproceso ("ddpp.exe"), luego de la ejecución, descomprime el shellcode para establecer comunicación con un servidor controlado por el atacante (C2) y recibe un segundo ejecutable encriptado ("fplayer.exe") que funciona como el descargador de la siguiente etapa para recuperar el Python RAT.

"En campañas anteriores del grupo, las herramientas de Evilnum evitaban el uso de dominios en las comunicaciones con el C2, utilizando únicamente direcciones IP", señalaron los investigadores. "Si bien la dirección IP C2 cambia cada pocas semanas, la lista de dominios asociados con esta dirección IP sigue creciendo".

sitios hackeados

Si bien aún no están claros los orígenes exactos de Evilnum, es evidente que su constante improvisación de TTPs los ha ayudado a permanecer fuera del radar.

A medida que las técnicas de APTs continúan evolucionando, es esencial que las empresas se mantengan atentas y los empleados controlen sus correos electrónicos para detectar intentos de phishing y sean cautelosos cuando se trata de abrir correos electrónicos y archivos adjuntos de remitentes desconocidos.