ESET виявив нові атаки на фінансові технологічні компанії
Компанія ESET виявила нові атаки на компанії, що займаються фінансовими технологіями
Компанія ESET повідомляє про виявлення групи APT, яка використовує зловмисне програмне забезпечення evilnum для відстеження своїх цілей і отримання фінансової інформації від компаній та їхніх клієнтів. За даними ESET, кіберзлочинці атакують фінансові технологічні компанії, такі як платформи та інструменти для онлайн-торгівлі. В основному цілями зловмисників були компанії в ЄС і Великобританії, а в деяких випадках організації в Австралії і Канаді.
«Хоча це шкідливе ПЗ було виявлено в реальному середовищі як мінімум в 2018 році, інформація про групу кіберзлочинців і їх методах роботи була маловідома. Інструменти та інфраструктура зловмисників постійно розвивалися і тепер складаються з набору самостійно розроблених шкідливих програм в поєднанні з інструментами сервісу шкідливих програм «Золоті кури», послугами якого користуються такі відомі групи зловмисників, як FIN6 і Cobalt. Група" , – каже дослідниця ESET.
Зловмисне програмне забезпечення Evilnum може викрадати конфіденційну інформацію, таку як кредитна картка клієнта та документи, що посвідчують особу, електронні таблиці та списки клієнтів, інвестиційну та торгову інформацію, ліцензії на програмне забезпечення та облікові дані для продажу програмного забезпечення/платформи, електронні листи з паролями та логінами та іншу інформацію. Крім того, зловмисники також отримують доступ до інформації, пов'язаної з ІТ, наприклад, конфігурацій VPN.
"Щоб заразити свої цілі, кіберзлочинці використовують електронні листи з посиланнями на ZIP-файл, розміщений на Google Drive. Цей архів містить кілька ярликів файлів, які отримує шкідливий компонент і запускає при відображенні документа-приманки. Такі підроблені документи виглядають як Групи нападників постійно і постійно активно збираються в триваючих операціях, намагаючись скомпрометувати нових жертв. Варто відзначити, що такі файли спрямовані на співробітників технічної підтримки і менеджерів відділів по роботі з клієнтами, які регулярно отримують від своїх клієнтів документи , що засвідчують особу або дані кредитної картки».
Як і в багатьох інших випадках шкідливого програмного забезпечення, можна також надсилати віддалені команди Evilnum. Зокрема, ці команди дозволяють збирати та надсилати збережені паролі Google Chrome, робити скріншоти, зупиняти поширення та видаляти шкідливе програмне забезпечення, а також збирати та надсилати файли cookie Google Chrome на командно-контрольний сервер.
«Evilnum використовує велику інфраструктуру для своїх операцій з декількома серверами для різних типів зв'язку»
