PyVil RAT é capaz de fazer keylogging, tirar screenshots e muito mais - e aqueles que estão por trás dele não medem esforços para mantê-lo o mais fora do radar possível.

Uma operação de hacking com muitos recursos implantou malware trojan recentemente desenvolvido em uma campanha que visa organizações de tecnologia financeira com o objetivo de roubar endereços de e-mail, senhas e outras informações corporativas confidenciais - e o código malicioso é agrupado dentro de um código extraído de aplicativos legítimos.

Conhecido como Evilnum, o grupo de ameaça persistente avançada (APT) surgiu pela primeira vez em 2018 e uma das razões para seu sucesso é a frequência com que eles mudaram de ferramentas e táticas ao mirar em alvos relacionados a Fintech localizados principalmente na Europa e no Reino Unido , embora algumas vítimas estejam localizadas nas Américas e na Austrália.

Uma operação de hacking com muitos recursos implantou malware trojan recentemente desenvolvido em uma campanha que visa organizações de tecnologia financeira com o objetivo de roubar endereços de e-mail, senhas e outras informações corporativas confidenciais - e o código malicioso é agrupado dentro de um código extraído de aplicativos legítimos.

Conhecido como Evilnum, o grupo de ameaça persistente avançada (APT) surgiu pela primeira vez em 2018 e uma das razões para seu sucesso é a frequência com que eles mudaram de ferramentas e táticas ao mirar em alvos relacionados a Fintech localizados principalmente na Europa e no Reino Unido , embora algumas vítimas estejam localizadas nas Américas e na Austrália.

A atividade do Evilnum tem sido variada, com relatórios sobre a utilização de diferentes componentes escritos em Javascript e C #, e agora implantou outra nova ferramenta de ataques. Desta vez, é um trojan de acesso remoto (RAT) com script Python que surgiu nas últimas semanas junto com uma nova onda de ataques direcionados.

Descoberto por pesquisadores de segurança cibernética da Cybereason que o apelidaram de PyVil RAT, o trojan permite que invasores roubem secretamente informações corporativas por meio de keylogging e capturas de tela, bem como a capacidade de coletar informações sobre o sistema infectado, incluindo qual versão do Windows está em execução, quais produtos antivírus estão instalados e se dispositivos USB estão conectados.

Os ataques Evilnum anteriores começaram com e -mails de spear-phishing altamente direcionados e a campanha de entrega do PyVil é semelhante, embora em vez de entregar arquivos Zip como antes, o comprometimento começa com e-mails contendo um arquivo LNK mascarado como PDF.

Os e-mails de phishing afirmam conter documentos de identificação associados a serviços bancários, incluindo contas de serviços públicos, extratos de cartão de crédito e até fotos de carteira de motorista.

Se aberto, o arquivo iniciará uma sequência que verá a máquina comprometida conectada aos servidores de comando e controle do Evilnum e o malware trojan lançado no sistema, capaz de fornecer instruções e potencial funcionalidade adicional ao PyVil - tudo isso enquanto permanece escondido do vítima.

Uma das razões pelas quais o novo trojan é capaz de fazer isso é porque o código malicioso é ofuscado por trás de muitas camadas diferentes, incluindo ser agrupado dentro do código de um software legítimo que de alguma forma foi extraído e envolvido em torno do malware.

“Essa tática funciona a seu favor de várias maneiras, incluindo evitar a detecção e manter a persistência - o abuso de código legítimo é mais comum com atores mais sofisticados”, disse Tom Fakterman, pesquisador de ameaças da Cybereason, ao ZDNet.

VEJA: Linguagens de programação: os desenvolvedores revelam o que amam e o que detestam e o que paga melhor

Embora não esteja claro quem são os criminosos cibernéticos por trás do Evilnum, a natureza altamente direcionada dos ataques, combinada com a maneira como eles estão constantemente mudando suas táticas, leva os pesquisadores a acreditar que é uma campanha altamente profissional e com bons recursos.

Acredita-se que o Evilnum permaneça ativo e provavelmente é apenas uma questão de tempo antes que o grupo mude suas ferramentas e técnicas para direcionar organizações no espaço Fintech mais uma vez.

"Ainda vemos amostras do malware surgindo e vemos que a infraestrutura dos agentes da ameaça ainda está ativa. A melhor forma de proteção é a educação, melhorando a higiene da segurança e ensinando os funcionários a não serem enganados para abrir e-mails de phishing e não baixar informações de sites duvidosos ", disse Fakterman.

Fonte:  ZDNet