Les chercheurs d’ESET ont publié une analyse approfondie des activités d’Evilnum, un groupe de pirates à l’origine du malware éponyme ‘Evilnum’. Selon la télémétrie d’ESET, les cibles sont des entreprises du secteur financier, par exemple des plateformes et des outils de courtage en ligne. Bien que la plupart des cibles soient situées dans des pays de l’UE et au Royaume-Uni, ESET a également noté des attaques dans d’autres pays, notamment l’Australie et le Canada. Le principal objectif du groupe Evilnum est d’espionner ses cibles et d’obtenir des informations financières à la fois auprès des entreprises visées que de leurs clients.
« Ce malware a été observé depuis l’année 2018 et il a déjà été documenté, mais peu d’informations ont été publiées sur le groupe qui l’exploite et son fonctionnement, » explique Matias Porolli, le chercheur d’ESET qui dirige l’enquête sur Evilnum. « Ses outils et son infrastructure ont évolué et comprennent désormais un mélange de malwares personnalisés, développés par ses auteurs, combinés à des outils achetés auprès de Golden Chickens, un fournisseur de malwares sous forme de services qui compte des clients célèbres tels que les groupes de pirates FIN6 et Cobalt. »
Evilnum vole des informations sensibles, notamment les informations relatives aux cartes bancaires des clients ainsi que des justificatifs de domicile et des pièces d’identité, des feuilles de calcul et des documents contenant des listes de clients, des transactions d’investissement et de courtage, les licences de logiciels et les identifiants des logiciels/plateformes de courtage, des identifiants de messagerie, et d’autres données. Le groupe a également réussi à accéder à des informations sur les infrastructures informatiques telles que les configurations des VPN.
« Les cibles sont approchées par des emails d’hameçonnage qui intègrent un lien vers un fichier ZIP hébergé sur Google Drive. Cette archive contient plusieurs fichiers de raccourcis qui extraient et exécutent un composant malveillant, tout en affichant un document leurre » précise M. Porolli. Ces documents leurres semblent authentiques. Ils sont continuellement et activement collectés dans le cadre des activités actuelles du groupe afin de tenter de compromettre de nouvelles victimes. Le groupe vise des conseillers de l’assistance technique et des responsables de comptes, qui reçoivent régulièrement des justificatifs d’identité et des cartes bancaires de leurs clients.
Composants de Evilnum
Comme pour de nombreux autres malwares, des commandes peuvent être envoyées à Evilnum. Parmi celles-ci figurent des commandes qui permettent de collecter les mots de passe enregistrés dans Google Chrome, effectuer des captures d’écran, stopper le malware et supprimer sa persistance, collecter les cookies dans Google Chrome, et envoyer le tout à un serveur de commande et de contrôle.
« Evilnum s’appuie sur une vaste infrastructure pour ses opérations, avec plusieurs serveurs différents pour différents types de communications, » conclut M. Porolli.
Pour plus de détails techniques sur le malware Evilnum et ses auteurs, consultez l’article complet « More evil: a deep look at Evilnum and its toolset » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Darina SANTAMARIA - 06 61 08 42 45 - darina.j@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 - ines.k@eset-nod32.fr
À propos d'ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.