Publié le 10/07/2020 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Bien que la plupart des cibles se trouvent dans les pays de l'Union Européenne et au Royaume-Uni, ESET a également découvert des attaques en Australie et au Canada. L'objectif principal du groupe Evilnum est d'espionner ses cibles afin d'en obtenir des informations financières tant des sociétés ciblées que de leurs clients.
"Bien que ce malware ait été vu ‘in the wild’ depuis déjà 2018 et qu’il ait été documenté précédemment, peu de choses ont été publiées sur le groupe qui se cache derrière lui et sur la façon dont il fonctionne", explique Matias Porolli, le chercheur d'ESET qui mène l'enquête sur Evilnum. «L’ ensemble de ses outils ainsi que son infrastructure ont évolué et se composent désormais d'un mix de logiciels malveillants faits maison et personnalisés, combinés à des outils achetés au fournisseur de services malveillants (Malware-as-a-Service-provider), Golden Chickens, dont les clients peu recommandables sont entre autres FIN6 et Cobalt Group», ajoute-t-il.
Evilnum vole des informations sensibles, y compris des informations concernant les cartes de crédit de clients et des preuves d'adresse/documents d'identité; des feuilles de calcul et des documents avec listes de clients, leurs investissements et opérations de trading; des licences de logicielles et des informations d'identification pour les logiciels/plates-formes de trading; des informations d'identification par e-mail et d'autres données. Le groupe a également eu accès à des informations touchant à l'informatique, telles que les configurations VPN.
"Les cibles sont approchées par des e-mails de spearphishing qui contiennent un lien vers un fichier ZIP hébergé sur Google Drive. Cette archive contient de nombreux fichiers de raccourcis qui extraient et exécutent un composant malveillant, tout en affichant un document piège », précise Porolli. Ces documents pièges semblent authentiques et sont collectés en permanence et activement dans les opérations actuelles du groupe alors qu'ils tentent de compromettre de nouvelles victimes. Ils ciblent les représentants du support technique et les chargés de clientèle, qui reçoivent régulièrement des pièces d'identité ou des cartes de crédit de leurs clients.
Comme c’est le cas avec de nombreux codes malveillants, des commandes peuvent être envoyées au malware Evilnum. Parmi celles-ci figurent des commandes pour collecter et envoyer des mots de passe sauvés sur Google Chrome, faire des captures d'écrans, arrêter le malware et supprimer la persistance ainsi que collecter et envoyer des cookies Google Chrome à un serveur de commande et de contrôle.
Et Matias Porolli de conclure : «Pour ses opérations, Evilnum bénéficie d’une vaste infrastructure, avec plusieurs serveurs différents selon les différents types de communication».
Pour plus de détails techniques sur le malware Evilnum et le groupe APT, lisez le blog complet
“More evil: a deep look at Evilnum and its toolset” sur WeLiveSurity. Suivez ESET Research sur Twitter ESET Research on Twitter pour les toutes dernières nouvelles en matière de recherche.
Pour en savoir plus sur les offres ESET, visitez le site https://www.eset.com/be-fr/
"Bien que ce malware ait été vu ‘in the wild’ depuis déjà 2018 et qu’il ait été documenté précédemment, peu de choses ont été publiées sur le groupe qui se cache derrière lui et sur la façon dont il fonctionne", explique Matias Porolli, le chercheur d'ESET qui mène l'enquête sur Evilnum. «L’ ensemble de ses outils ainsi que son infrastructure ont évolué et se composent désormais d'un mix de logiciels malveillants faits maison et personnalisés, combinés à des outils achetés au fournisseur de services malveillants (Malware-as-a-Service-provider), Golden Chickens, dont les clients peu recommandables sont entre autres FIN6 et Cobalt Group», ajoute-t-il.
Evilnum vole des informations sensibles, y compris des informations concernant les cartes de crédit de clients et des preuves d'adresse/documents d'identité; des feuilles de calcul et des documents avec listes de clients, leurs investissements et opérations de trading; des licences de logicielles et des informations d'identification pour les logiciels/plates-formes de trading; des informations d'identification par e-mail et d'autres données. Le groupe a également eu accès à des informations touchant à l'informatique, telles que les configurations VPN.
"Les cibles sont approchées par des e-mails de spearphishing qui contiennent un lien vers un fichier ZIP hébergé sur Google Drive. Cette archive contient de nombreux fichiers de raccourcis qui extraient et exécutent un composant malveillant, tout en affichant un document piège », précise Porolli. Ces documents pièges semblent authentiques et sont collectés en permanence et activement dans les opérations actuelles du groupe alors qu'ils tentent de compromettre de nouvelles victimes. Ils ciblent les représentants du support technique et les chargés de clientèle, qui reçoivent régulièrement des pièces d'identité ou des cartes de crédit de leurs clients.
Comme c’est le cas avec de nombreux codes malveillants, des commandes peuvent être envoyées au malware Evilnum. Parmi celles-ci figurent des commandes pour collecter et envoyer des mots de passe sauvés sur Google Chrome, faire des captures d'écrans, arrêter le malware et supprimer la persistance ainsi que collecter et envoyer des cookies Google Chrome à un serveur de commande et de contrôle.
Et Matias Porolli de conclure : «Pour ses opérations, Evilnum bénéficie d’une vaste infrastructure, avec plusieurs serveurs différents selon les différents types de communication».
Pour plus de détails techniques sur le malware Evilnum et le groupe APT, lisez le blog complet
“More evil: a deep look at Evilnum and its toolset” sur WeLiveSurity. Suivez ESET Research sur Twitter ESET Research on Twitter pour les toutes dernières nouvelles en matière de recherche.
Pour en savoir plus sur les offres ESET, visitez le site https://www.eset.com/be-fr/