0
0
Entidades financeiras e de investimento, incluindo aquelas envolvidas nos mercados de finanças descentralizadas (DeFi) e criptomoedas, estão sendo ativamente visadas por um grupo de hackers identificados como TA4563, que estão aproveitando o malware Evilnum.
De acordo com um novo relatório da Proofpoint, a primeira campanha de e-mail foi em dezembro passado, com a campanha inicial tentando entregar documentos do Word que pudessem instalar uma versão atualizada do backdoor. Os arquivos continham táticas de phishing de engenharia social direcionadas a instituições financeiras, em um caso sugerindo que o destinatário deve apresentar “prova de propriedade de documentos ausentes”.
Em campanhas posteriores, o grupo tentou entregar vários URLs do OneDrive contendo um anexo ISO ou arquivo de atalho (.LNK). Em seguida, o grupo novamente mudou de tática no meio de 2022, voltando aos arquivos do Word para atrair as vítimas a baixar um modelo remoto, em vez de enviar a vítima para um domínio controlado por ator, entregando a carga útil do Evilnum.
“Cada campanha é altamente protegida; o malware permite apenas um download por endereço IP para garantir que apenas o host de destino possa recuperar a carga útil final” , observa o relatório, divulgado na quinta -feira.
O backdoor Evilnum, observado pela primeira vez em 2020, pode ser usado para roubo de dados, reconhecimento ou para carregar cargas adicionais – geralmente é um acessório em campanhas de espionagem cibernética.
Evilnum: Em Desenvolvimento Ativo
Com base na análise da Proofpoint, o malware também contém vários mecanismos de evasão e está em desenvolvimento contínuo.
Sherrod DeGrippo, vice-presidente de pesquisa e detecção de ameaças da Proofpoint, diz que isso sugere que os agentes de ameaças podem incorporar novos recursos do malware para evitar a detecção e melhorar a eficácia das campanhas.
“O uso de arquivos do Microsoft Word e .LNK para lançar malware, bem como outros métodos de entrega diferentes, permite que o ator experimente o que funciona ou tem maior probabilidade de atingir uma infecção”, acrescenta ela.
Ela aponta que a maioria dos alvos geralmente tem um potencial ganho financeiro para o agente da ameaça e observa que o DeFi é um setor novo e pouco regulamentado, com muitas novas tecnologias que podem não ser totalmente verificadas ou protegidas.
“É um ambiente emergente e rico em alvos para os atores de ameaças potencialmente se beneficiarem”, diz ela, acrescentando que esta campanha em particular tem como alvo organizações europeias.
A indústria de DeFi emergente é um alvo cibernético principal
As finanças descentralizadas perderam US$ 1,8 bilhão em ataques cibernéticos no ano passado – e 80% desses eventos foram resultado de código vulnerável, dizem analistas.
Nicole Hoffman, analista sênior de inteligência de ameaças cibernéticas da Digital Shadows, fornecedora de soluções de proteção contra riscos digitais, aponta que a indústria DeFi ainda é relativamente nova e depende de plataformas de código aberto.
Ela explica que código aberto significa que o código-fonte está disponível publicamente, o que torna mais fácil para os cibercriminosos identificarem possíveis falhas.
“Os cibercriminosos também podem ser atraídos pelos bilhões de dólares mantidos nas plataformas DeFi”, acrescenta ela.
Além disso, Hoffman diz que muitas plataformas DeFi têm pontes de cadeia cruzada, permitindo que os usuários transfiram fundos facilmente em várias blockchains.
“Isso inadvertidamente permite que agentes maliciosos desembolsem seus fundos roubados em várias blockchains rapidamente”, diz ela.
Hoffman diz que os desenvolvedores de DeFi estão aprendendo “da maneira mais difícil” que a segurança precisa fazer parte do processo de desenvolvimento desde o início.
“Os desenvolvedores devem resolver todas as falhas de segurança e proteger os fundos das pessoas se quiserem uma adesão contínua”, diz ela. “Caso contrário, o mercado provavelmente fracassará. Até que essas vulnerabilidades sejam abordadas, provavelmente haverá mais invasores oportunistas procurando ganhar dinheiro rapidamente.”
Crescente grupo de vítimas à medida que o investimento em DeFi aumenta
DeGrippo acrescenta que mais pessoas estão cientes e investindo em recursos descentralizados de finanças e criptomoedas, portanto, há um número crescente de vítimas em potencial para os agentes de ameaças visarem.
“Além disso, eles podem usar diferentes temas de atração para segmentar produtos e serviços relacionados a criptomoedas”, diz ela.
Ela explica que é importante que essas organizações garantam que os funcionários sejam treinados para identificar e relatar e-mails suspeitos.
Do ponto de vista da tecnologia, eles também podem “restringir o uso de arquivos de contêiner, como arquivos ISO e LNK, especialmente aqueles baixados da Internet”, diz ela, e “bloquear que arquivos RTF sejam baixados ou acessados do Word, quando aplicável”.
O grupo homônimo por trás do malware Evilnum tem como alvo instituições financeiras desde seu surgimento em 2018 e evoluiu constantemente seus métodos , adotando Trojans de acesso remoto (RATs) Python para realizar ataques de spear phishing bem elaborados.
FONTE: DARK READING