0
0
Um novo trojan de acesso remoto (RAT) está mirando empresas de tecnologia financeira no Reino Unido e na União Europeia para capturar informações confidenciais através de keylogging e capturas de tela. Descrito em um post no blog de quinta-feira da empresa de cibersegurança Cybereason, o RAT chamado PyVil vem cortesia do grupo Evilnum APT (Advanced Persistent Threat). Mas este tem alguns novos truques na manga em comparação com os trojans anteriores implantados pelo grupo.
Em seu post no blog, “No Rest for the Wicked: Evilnum Unleashes PyVil RAT“, Cybereason aponta o Evilnum como uma operação cujos ataques de malware e campanhas de phishing são altamente visados. O grupo normalmente mira empresas de tecnologia financeira (FinTech), e principalmente aquelas localizadas no Reino Unido e na UE.
Para implantar seu malware, a Evilnum explora documentos para as regulamentações do Know Your Customer (KYC),que contêm informações fornecidas por clientes que conduzem negócios com vários provedores. Esses documentos são frequentemente usados por bancos e empresas financeiras para verificar a identidade de seus clientes, o que parece estar ligado ao foco da Evilnum no setor FinTech.
Os ataques do Evilnum geralmente começam com e-mails de phishing de lança que fornecem arquivos ZIP com arquivos LNK fingindo ser fotos de carteiras de motorista, cartões de crédito, contas de luz e outros registros confidenciais. Esses documentos são tipicamente roubados e pertencem a pessoas reais.
Depois que a vítima abre um arquivo LNK, um Trojan JavaScript substitui o arquivo LNK por uma imagem real. O Trojan então passa a carregar e baixar arquivos, roubar cookies, coletar informações antivírus e executar vários comandos. Também configura comunicação com os servidores C2 (comando e controle) do grupo.
Uma progressão de seus esforços passados, a criação mais recente do Evilnum é o PyVil, um RAT com script Pythonusado para obter senhas, documentos, cookies de navegador e credenciais de e-mail em dispositivos infectados. PyVil difere dos trojans anteriores do grupo de algumas maneiras, de acordo com a Cybereason.
PyVil RAT foi compilado com py2exe, um executável que transforma scripts Python em programas Windows e tem a capacidade de baixar novos módulos para expandir sua funcionalidade. O PyVil também marca uma mudança de apenas trojans JavaScript com recursos convencionais de backdoor para um processo de várias etapas mais sofisticado para fornecer a carga útil maliciosa. Além disso, essa estratégia usa versões modificadas de arquivos executáveis legítimos, em um esforço para passar por ferramentas de segurança.
Os trojans JavaScript ainda estão em jogo com esta última campanha. Mas neste caso, eles são usados como um conta-gotas de primeiro estágio para pavimentar o caminho para PyVil. Após a infecção, o PyVil tenta coletar informações sobre o dispositivo, tirar capturas de tela, obter dados de keylog, abrir um shell SSH e baixar ferramentas adicionais. Essas ferramentas podem ser outro programa executável ou um módulo Python, como o LaZagne,qualquer um dos quais adicionará mais funcionalidade para o ataque prosseguir.
“Essa inovação em táticas e ferramentas foi o que permitiu que o grupo ficasse sob o radar, e esperamos ver mais no futuro à medida que o arsenal do grupo Evilnum continua a crescer”, disse Cybereason.
O que organizações e indivíduos podem fazer para se proteger contra esses tipos de ataques rat?
“As empresas estão em um jogo de gato e rato com adversários cibernéticos, e ficar à frente delas requer resiliência e serviços de caça e monitoramento de ameaças de rede 24 horas por dia”, disse Tom Fakterman, pesquisador de ameaças da Cybereason, ao TechRepublic. “Melhorar a higiene da segurança dará às empresas uma varredura mais ampla e profunda de suas redes, permitindo que elas eliminem o comportamento malicioso mais rapidamente. Para os funcionários, recomendo que eles não abram anexos em e-mails de fontes desconhecidas e não baixem arquivos e conteúdo de fontes duvidosas. O mesmo vale para todos os dispositivos, incluindo PCs, Macs, laptops e todos os dispositivos móveis.”
FONTE: TECHREPUBLIC