Les pirates du groupe Evilnum ont développé un ensemble d’outils qui combine des logiciels malveillants personnalisés, des utilitaires légitimes et des outils achetés auprès d’un fournisseur de logiciels malveillants en tant que service (MaaS) qui s’adresse aux grands acteurs des menaces fintech.

Le groupe est actif depuis au moins 2018 et se concentre sur les entreprises du secteur des technologies financières qui proposent des plateformes de trading et d’investissement.

Prendre un raccourci

Ses cibles sont à la fois les entreprises et leurs clients, l’objectif étant de voler des informations financières. Une enquête sur l’activité d’Evilnum de la société de cybersécurité ESET révèle qu’ils recherchent le type de données suivant:

• feuilles de calcul et documents avec opérations d’investissement et de négociation
• présentations internes
• licences et informations d’identification pour le trading de logiciels
• cookies et informations de session de Google Chrome
• connexions par e-mail
• données de carte de crédit du client et preuve d’identité

Les attaques commencent par des e-mails de spearphishing contenant des fichiers de raccourcis .LNK se faisant passer pour une image ou un document (double extension). Lorsque l’utilisateur victime l’ouvre, un composant JavaScript malveillant s’exécute et ouvre un fichier leurre portant le même nom que le raccourci; puis il supprime le fichier .LNK.

Le rôle du composant JavaScript (également appelé Evilnum) est également de déployer d’autres logiciels malveillants comme le module d’espionnage Evilnum, des logiciels malveillants du Golden Chickens MaaS et plusieurs outils basés sur Python.

Un autre composant écrit en C #, qui est le malware qui a donné le nom Evilnum du groupe parce que la version 1.3 de mai 2018 a calculé l’adresse C2 en divisant à 666 une valeur numérique à partir d’une page Web publique, a une fonctionnalité similaire avec le JavaScript de première étape . Les développeurs l’appellent Marvel et en avril, ils utilisaient la version 4.0.

Mélange d’outils personnalisés, MaaS et publics

Evilnum met en place une opération solide où plusieurs composants malveillants s’exécutent indépendamment et se connectent à différents serveurs de commande et de contrôle (C2) pour …