ESET Research ontleedt Evilnum Group: de malware doelt op online trading in EU
Hoewel de meeste doelen zich in EU-landen en het VK bevinden, heeft ESET ook aanvallen gezien in Australië en Canada. De belangrijkste taak van de Evilnum-groep is het bespioneren van haar mikpunten en het verkrijgen van financiële informatie zowel van de beoogde bedrijven als van hun klanten.
“Hoewel deze malware ten minste sinds 2018 ‘in the wild’ werd gezien en eerder is gedocumenteerd, is echter weinig gepubliceerd over de groep die erachter schuilt en over zijn werkwijze”, zegt Matias Porolli, die het ESET-onderzoek naar Evilnum leidt. “De toolset en infrastructuur zijn geëvolueerd en bestaan nu uit een mix van op maat gemaakte en zelfgemaakte malware, gecombineerd met tools aangekocht bij Golden Chickens, een Malware-as-a-Service-provider met beruchte klanten als FIN6 en Cobalt Group”, verduidelijkt hij.
Evilnum steelt gevoelige informatie, waaronder creditkaartgegevens van klanten en bewijzen van adres/identiteitsdocumenten; spreadsheets en documenten met klantenlijsten, investeringen en tradingactiviteiten; softwarelicenties en -referenties voor tradingsoftware/-platforms; e-mailreferenties en andere gegevens. De groep slaagde er ook in toegang te krijgen tot IT-gerelateerde informatie zoals VPN-configuraties.
“De doelen worden benaderd met spearphishing-e-mails die een link bevatten naar een ZIP-bestand gehost op Google Drive. Dat archief bevat verschillende snelkoppelingsbestanden die een kwaadaardige component extraheren en uitvoeren, terwijl een lokdocument wordt weergegeven ”, licht Porolli toe. Deze lokdocumenten lijken echt en worden voortdurend en actief verzameld tijdens de huidige operaties van de groep terwijl ze nieuwe slachtoffers proberen te compromitteren. Het is gericht op verantwoordelijken van technische ondersteuning en accountmanagers, die regelmatig identiteitsdocumenten of creditkaarten van hun klanten ontvangen.
Componenten van Evilnum
Zoals bij veel kwaadaardige codes, kunnen opdrachten naar de Evilnum-malware gestuurd worden. Hierbij zijn opdrachten voor het verzamelen en verzenden van door Google Chrome opgeslagen wachtwoorden; het maken van screenshots; het stoppen van de malware en het verwijderen van de persistentie alsook het verzamelen en verzenden van Google Chrome-cookies naar een commando- en controleserver.
“Voor zijn activiteiten maakt Evilnum gebruik van een uitgebreide infrastructuur, met verschillende servers voor verschillende soorten communicatie”, besluit Porolli.
Meer technische details over de Evilnum-malware en de APT-groep zijn te vinden op de volledige blogpost “More evil: a deep look at Evilnum and its toolset” op WeLiveSecurity. Volg ook ESET Research on Twitter voor de nieuwste info over ESET Research.
Bezoek voor meer informatie over het aanbod van ESET https://www.eset.com/be-nl/