Το νέο malware trojan PyVil RAT είναι η νέα ανακάλυψη των ερευνητών και η ομάδα που φαίνεται να το διαδίδει είναι η Evilnum.
Ένα νέο trojan malware εντοπίστηκε σε μια καμπάνια που στοχεύει οργανισμούς χρηματοοικονομικής τεχνολογίας με σκοπό την κλοπή διευθύνσεων email, κωδικών πρόσβασης και άλλων ευαίσθητων εταιρικών πληροφοριών.
Γνωστή ως Evilnum, η ομάδα APT εμφανίστηκε για πρώτη φορά το 2018 και ένας από τους λόγους της επιτυχία της είναι το πόσο συχνά αλλάζει εργαλεία και τακτικές καθώς στοχεύει σε εταιρείες που σχετίζονται με το Fintech που βρίσκονται κυρίως στην Ευρώπη και το Ηνωμένο Βασίλειο, αν και ορισμένα θύματα βρίσκονται και σε Αμερική και Αυστραλία.
Η δραστηριότητα της Evilnum ποικίλλει, με αναφορές για χρήση διαφορετικών components που έχουν γραφτεί σε Javascript και C #. Αυτή τη φορά όμως έχει αναπτύξει ένα άλλο νέο εργαλείο για επιθέσεις που είναι ένα malware trojan γραμμένο σε Python που εμφανίστηκε τις τελευταίες εβδομάδες σε μια νέα σειρά στοχευμένων επιθέσεων.
Το malware trojan που ανακάλυψαν οι ερευνητές της Cybereason και το ονόμασαν PyVil RAT, επιτρέπει στους εισβολείς να κλέψουν εταιρικές πληροφορίες μέσω της χρήσης του keylogging και να βγάλουν screenshot. Επίσης έχει την δυνατότητα να συλλέξει πληροφορίες σχετικά με το μολυσμένο σύστημα, συμπεριλαμβανομένης της έκδοσης των Windows που τρέχει, ποια antivirus είναι εγκατεστημένα και εάν υπάρχουν συνδεδεμένες συσκευές USB.
Οι προηγούμενες επιθέσεις της Evilnum είχαν ξεκινήσει με πολύ στοχευμένα phishing email και η καμπάνια παράδοσης του PyVil είναι κάτι παρόμοιο, αν και αντί να παραδίδονται αρχεία zip όπως πριν, παραδίδονται email που περιέχουν ένα αρχείο LNK που μεταμφιέζεται σε PDF.
Τα phishing email ισχυρίζονται ότι περιέχουν έγγραφα αναγνώρισης που σχετίζονται με τραπεζικές συναλλαγές, έγγραφα πιστωτικών καρτών ή ακόμη και φωτογραφίες διπλωμάτων οδήγησης.
Ενώ παραμένει ασαφές ποιοι είναι τελικά οι κυβερνοεγκληματίες πίσω από την Evilnum, ο εξαιρετικά στοχευμένος χαρακτήρας των επιθέσεων σε συνδυασμό με τον τρόπο με τον οποίο αλλάζουν συνεχώς τις τακτικές τους οδηγεί τους ερευνητές στο να πιστεύουν ότι είναι μια ομάδα πραγματικών επαγγελματιών.
Η ομάδα Evilnum πιστεύεται ότι θα παραμείνει ενεργή για μεγάλο χρονικό διάστημα και είναι θέμα χρόνου να αλλάξει και πάλι τα εργαλεία και τις τεχνικές της.
