PyVil RAT da Evilnum tem como alvo empresas FinTech
Vários atores de ameaças têm intrometido empresas de fintech enviando informações e documentos fraudulentos para infectar os sistemas das vítimas.
O que aconteceu recentemente?
Um trojan de acesso remoto (RAT) baseado em Python, apelidado de PyVil, surgiu como uma mudança na cadeia de infecção e uma expansão da infraestrutura usada pelo grupo Evilnum APT.
- Como parte de uma mudança em seus TTPs, Evilnum adicionou o PyVil RAT ao seu arsenal para exfiltrar dados, executar keylogging e tirar screenshots.
- O grupo APT usou as regulamentações Know Your Customer (KYC) como isca nos e-mails de spear-phishing direcionados a empresas fintec no Reino Unido e na UE.
Um novo RAT monta sua toca
- PyVil RAT é basicamente uma extensão Python que ajuda a converter scripts Python em executáveis do Microsoft Windows, adicionando sua capacidade de baixar novos módulos para expandir a funcionalidade.
- Além disso, as funcionalidades do RAT incluem atuar como keylogger, tirar screenshots, descartar e carregar scripts Python, coletar informações de antivírus e versões de navegador instaladas na máquina, entre outros.
- O grupo usa ferramentas como More_eggs, TerraPreter, TerraStealer, ferramenta de coleta de credenciais LaZagne e TerraTV, junto com outras ofertas de malware como serviço de um provedor underground conhecido como Golden Chickens.
Visto pela última vez
Em julho de 2020 , o grupo Evilnum lançou ataques de spear-phishing para obter informações financeiras das empresas-alvo e de seus clientes em países da UE, Reino Unido, Austrália e Canadá.
Em essência
O grupo Evilnum APT conseguiu desenvolver sua experiência no uso de executáveis legítimos durante o estágio de infecção, em uma tentativa de permanecer furtivo e não ser detectado pelas ferramentas de segurança. A adição de tais novas ferramentas permite que o grupo Evilnum infecte mais alvos e espera-se que continue sua onda de expansão em um futuro próximo.
Fonte: https://cyware.com/news/evilnums-pyvil-rat-target-fintech-companies-f25fe8eb