Излезе информация за нова хакерска операция, разработваща trojan malware, чиято цел е да таргетира финтех организации и да открадне имейл адреси, пароли и друга корпоративна информация. Evilnum, както се казва вирусът, използва различни компоненти, написани на Javascript и C#, и е известен още от 2018 г. Сега обаче, тактиката е променена и Evilnum действа чрез Python-scripted RAT (remote access trojan).
Вирусът позволява на атакуващите да достигат до корпоративна информация, като използва keylogging – записва натискането на клавишите и прави скрийншотове, а освен това, събира различна информация за вече инфектираната система – версия на Windows, каква антивирусна се използва и има ли включени устройства към USB порта.
Evilnum е открит от изследователите в Cybereason, като предходните му атаки са били свързани с т. нар. фишинг имейл кампании, чието съдържание е със замаскиран като PDF, LNK файл.
Жертвите на групата Evilnum са финтех компании, намиращи се предимно в САЩ и Европа, но е имало и случаи от други места по света. Една от причините за успеха на групировката, споделят специалистите е, че използваните тактики и инструменти се сменят най-редовно. По този начин се променя почеркът и Evilnum става по-труден за разпознаване. Новият троянски вирус е способен да извършва дейността си, поради това, че зловредният код е забулен под много различни слоеве, като включително може да бъде включен в кода на легитимен софтуер.
“Тази тактика работи в тяхна полза по няколко начина, включително избягване на откриване и поддържане на постоянство – злоупотребата с легитимен код е по-често срещана при по-изисканите и сложни хакерски акции,” казва Том Фактерман от Cybereason пред ZDNet, а специалистите са убедени, че кампанията е много добре финансирана и е на високо професионално ниво.
Те също така вярват, че е въпрос на време Evilnum да смени техниката си, така че да остане активен и да продължи да таргетира различни организации. Като превенция най-вече се препоръчва добрата информираност сред служителите – да не отварят фишинг имейли и да не изтеглят информация от съмнителни сайтове и въобще, цялостно подобряване на security хигиената.