Cybercriminalité. Les chercheurs d'ESET dévoilent leur étude du malware du groupe Evilnum qui cible les plateformes de courtage en ligne

cameroun24.net Vendredi le 10 Juillet 2020 Opinion Imprimer Envoyer cet article à Nous suivre sur facebook Nous suivre sur twitter Revoir un Programme TV Grille des Programmes TV Où Vendre Où Danser Où Dormir au Cameroun
Les chercheurs d'ESET ont publié une analyse approfondie des activités d'Evilnum, un groupe de pirates à l'origine du malware éponyme 'Evilnum'.

ADS

 Selon la télémétrie d'ESET, les cibles sont des entreprises du secteur financier, par exemple des plateformes et des outils de courtage en ligne. Bien que la plupart des cibles soient situées dans des pays de l'UE et au Royaume-Uni, ESET a également noté des attaques dans d'autres pays, notamment l'Australie et le Canada. Le principal objectif du groupe Evilnum est d'espionner ses cibles et d'obtenir des informations financières à la fois auprès des entreprises visées que de leurs clients.


« Ce malware a été observé depuis l'année 2018 et il a déjà été documenté, mais peu d'informations ont été publiées sur le groupe qui l'exploite et son fonctionnement, » explique Matias Porolli, le chercheur d'ESET qui dirige l'enquête sur Evilnum. « Ses outils et son infrastructure ont évolué et comprennent désormais un mélange de malwares personnalisés, développés par ses auteurs, combinés à des outils achetés auprès de Golden Chickens, un fournisseur de malwares sous forme de services qui compte des clients célèbres tels que les groupes de pirates FIN6 et Cobalt. »


Evilnum vole des informations sensibles, notamment les informations relatives aux cartes bancaires des clients ainsi que des justificatifs de domicile et des pièces d'identité, des feuilles de calcul et des documents contenant des listes de clients, des transactions d'investissement et de courtage, les licences de logiciels et les identifiants des logiciels/plateformes de courtage, des identifiants de messagerie, et d'autres données. Le groupe a également réussi à accéder à des informations sur les infrastructures informatiques telles que les configurations des VPN.


« Les cibles sont approchées par des emails d'hameçonnage qui intègrent un lien vers un fichier ZIP hébergé sur Google Drive. Cette archive contient plusieurs fichiers de raccourcis qui extraient et exécutent un composant malveillant, tout en affichant un document leurre » précise M. Porolli. Ces documents leurres semblent authentiques. Ils sont continuellement et activement collectés dans le cadre des activités actuelles du groupe afin de tenter de compromettre de nouvelles victimes. Le groupe vise des conseillers de l'assistance technique et des responsables de comptes, qui reçoivent régulièrement des justificatifs d'identité et des cartes bancaires de leurs clients.


Comme pour de nombreux autres malwares, des commandes peuvent être envoyées à Evilnum. Parmi celles-ci figurent des commandes qui permettent de collecter les mots de passe enregistrés dans Google Chrome, effectuer des captures d'écran, stopper le malware et supprimer sa persistance, collecter les cookies dans Google Chrome, et envoyer le tout à un serveur de commande et de contrôle.
« Evilnum s'appuie sur une vaste infrastructure pour ses opérations, avec plusieurs serveurs différents pour différents types de communications, » conclut M. Porolli.

Lire aussi : ESET obtient d'excellents résultats au premier semestre 2020 aux tests AV-Comparatives
Lire aussi : Voici comment reconnaître la fraude et le phishing en ligne
Lire aussi : Une application de cryptomonnaie sur Mac, découverte par ESET Research, contient un cheval de Troie qui collecte des portefeuilles et des captures d'écran

 

Regardez

SUR LE MEME SUJET : Cybercriminalité

DANS LA MEME RUBRIQUE : Opinion

ADS

ADS

Facebook

ADS

CORONAVIRUS AU CAMEROUN
Confirmé : 17255
Décès 387
Guéri: 15320
Actif : 1548
Source MINSANTE
Mise à jour 29/07/2020 à 22:28:09

 

Les plus récents

Cameroun24 Sur Facebook

Rechercher un article