Novo malware de trojan com script Python tem como alvo empresas fintech

PyVil RAT é capaz de fazer keylogging, tirar screenshots e muito mais – e aqueles que estão por trás dele não medem esforços para mantê-lo o mais fora do radar possível.

Uma operação de hacking com muitos recursos implantou um malware de trojan recém-desenvolvido em uma campanha que visa organizações de tecnologia financeira com o objetivo de roubar endereços de e-mail, senhas e outras informações corporativas confidenciais – e o código malicioso é agrupado dentro do código extraído de aplicativos legítimos.

Conhecido como Evilnum, o grupo de ameaça persistente avançada (APT) surgiu pela primeira vez em 2018 e uma das razões para seu sucesso é a frequência com que eles mudaram de ferramentas e táticas ao mirar em alvos relacionados a Fintech localizados principalmente na Europa e no Reino Unido , embora algumas vítimas estejam localizadas nas Américas e na Austrália.

A atividade do Evilnum tem sido variada, com relatórios sobre a utilização de diferentes componentes escritos em Javascript e C #, e agora implantou outra nova ferramenta de ataques. Desta vez, é um trojan de acesso remoto (RAT) com script Python que surgiu nas últimas semanas junto com uma nova onda de ataques direcionados.

Descoberto por pesquisadores de segurança cibernética da Cybereason que o apelidaram de PyVil RAT, o trojan permite que invasores roubem secretamente informações corporativas por meio de keylogging e capturas de tela, bem como a capacidade de coletar informações sobre o sistema infectado, incluindo qual versão do Windows está em execução, quais produtos antivírus estão instalados e se dispositivos USB estão conectados.

Os ataques anteriores do Evilnum começaram com e-mails de spear phishing altamente direcionados e a campanha de entrega do PyVil é semelhante, embora em vez de entregar arquivos Zip como antes, o comprometimento começa com e-mails contendo um arquivo LNK mascarado como PDF.

Os e-mails de phishing afirmam conter documentos de identificação associados a serviços bancários, incluindo contas de serviços públicos, extratos de cartão de crédito e até fotos de carteira de motorista.

Se aberto, o arquivo iniciará uma sequência que verá a máquina comprometida conectada aos servidores de comando e controle do Evilnum e o malware trojan cair no sistema – e capaz de fornecer instruções e potencial funcionalidade adicional ao PyVil – tudo isso enquanto permanece escondido do vítima.

Uma das razões pelas quais o novo trojan é capaz de fazer isso é porque o código malicioso é ofuscado por trás de muitas camadas diferentes, incluindo ser agrupado dentro do código de um software legítimo que de alguma forma foi extraído e envolvido em torno do malware.

“Essa tática funciona a seu favor de várias maneiras, incluindo evitar a detecção e manter a persistência – o abuso de código legítimo é mais comum com atores mais sofisticados”, disse Tom Fakterman, pesquisador de ameaças da Cybereason ao ZDNet.

Embora não esteja claro quem são os criminosos cibernéticos por trás do Evilnum, a natureza altamente direcionada dos ataques, combinada com a maneira como eles estão constantemente mudando suas táticas, leva os pesquisadores a acreditar que é uma campanha altamente profissional e com bons recursos.

Acredita-se que o Evilnum permaneça ativo e provavelmente é apenas uma questão de tempo antes que o grupo mude suas ferramentas e técnicas para direcionar organizações no espaço Fintech mais uma vez.

“Ainda vemos amostras do malware surgindo e que a infraestrutura dos agentes de ameaça ainda está ativa. A melhor forma de proteção é a educação, melhorando a higiene da segurança e ensinando os funcionários a não serem enganados a abrir e-mails de phishing e não baixar informações duvidosas sites “, disse Fakterman.

Fonte: https://www.zdnet.com/article/new-python-scripted-trojan-malware-targets-finance-sector/