Les chercheurs d'ESET ont publié une analyse approfondie des activités d'Evilnum, un groupe de pirates à l'origine du malware éponyme 'Evilnum'.

ADS

 Selon la télémétrie d'ESET, les cibles sont des entreprises du secteur financier, par exemple des plateformes et des outils de courtage en ligne. Bien que la plupart des cibles soient situées dans des pays de l'UE et au Royaume-Uni, ESET a également noté des attaques dans d'autres pays, notamment l'Australie et le Canada. Le principal objectif du groupe Evilnum est d'espionner ses cibles et d'obtenir des informations financières à la fois auprès des entreprises visées que de leurs clients.

« Ce malware a été observé depuis l'année 2018 et il a déjà été documenté, mais peu d'informations ont été publiées sur le groupe qui l'exploite et son fonctionnement, » explique Matias Porolli, le chercheur d'ESET qui dirige l'enquête sur Evilnum. « Ses outils et son infrastructure ont évolué et comprennent désormais un mélange de malwares personnalisés, développés par ses auteurs, combinés à des outils achetés auprès de Golden Chickens, un fournisseur de malwares sous forme de services qui compte des clients célèbres tels que les groupes de pirates FIN6 et Cobalt. »

Evilnum vole des informations sensibles, notamment les informations relatives aux cartes bancaires des clients ainsi que des justificatifs de domicile et des pièces d'identité, des feuilles de calcul et des documents contenant des listes de clients, des transactions d'investissement et de courtage, les licences de logiciels et les identifiants des logiciels/plateformes de courtage, des identifiants de messagerie, et d'autres données. Le groupe a également réussi à accéder à des informations sur les infrastructures informatiques telles que les configurations des VPN.

« Les cibles sont approchées par des emails d'hameçonnage qui intègrent un lien vers un fichier ZIP hébergé sur Google Drive. Cette archive contient plusieurs fichiers de raccourcis qui extraient et exécutent un composant malveillant, tout en affichant un document leurre » précise M. Porolli. Ces documents leurres semblent authentiques. Ils sont continuellement et activement collectés dans le cadre des activités actuelles du groupe afin de tenter de compromettre de nouvelles victimes. Le groupe vise des conseillers de l'assistance technique et des responsables de comptes, qui reçoivent régulièrement des justificatifs d'identité et des cartes bancaires de leurs clients.

Comme pour de nombreux autres malwares, des commandes peuvent être envoyées à Evilnum. Parmi celles-ci figurent des commandes qui permettent de collecter les mots de passe enregistrés dans Google Chrome, effectuer des captures d'écran, stopper le malware et supprimer sa persistance, collecter les cookies dans Google Chrome, et envoyer le tout à un serveur de commande et de contrôle.
« Evilnum s'appuie sur une vaste infrastructure pour ses opérations, avec plusieurs serveurs différents pour différents types de communications, » conclut M. Porolli.

ADS