Výskumníci bezpečnostnej spoločnosti ESET analyzovali činnosť kybernetickej skupiny Evilnum, ktorá sa zameriava na fintech spoločnosti zaoberajúce sa online obchodom s akciami. Podľa údajov spoločnosti ESET sa väčšina obetí nachádza v krajinách Európskej únie, našli sa však aj prípady v Austrálii a v Kanade. Hlavným cieľom skupiny Evilnum je sledovať obete a získať finančné informácie o fintech firmách a taktiež o ich klientoch.
Evilnum kradne citlivé informácie vrátane údajov o platobných kartách, zoznamy klientov, dáta o investičných operáciách, prístupové údaje do investičných platforiem, prístupové údaje do e-mailových účtov a ďalšie dáta. Kradne aj kópie dokladov, ktoré sú zo zákona vyžadované pre overenie klientovej identity. Za takéto doklady sa považuje väčšinou občiansky preukaz, vodičský preukaz alebo pas.
Môže však ísť aj o kópiu účtu za elektrinu, plyn a podobne, na ktorom sa nachádza meno a adresa odberateľa. Skupina má taktiež prístup k technickým údajom svojich obetí, napríklad k nastaveniu ich virtuálnej privátnej siete (VPN).
„Tento škodlivý kód bol zdokumentovaný a o jeho existencii sa vie minimálne od roku 2018. O tejto kyberskupine a jej fungovaní však nebolo vydaných veľa informácií,“ hovorí Matias Porolli, výskumník spoločnosti ESET, ktorý vedie analýzu Evilnumu. „Ich nástroje a infraštruktúra sa postupne vyvinuli a v súčasnosti pozostávajú z na mieru vytvoreného škodlivého kódu skombinovaného s nástrojmi zakúpenými z Golden Chickens. Je to nelegálna platforma, ktorá poskytuje škodlivý kód ako službu. Medzi jej zákazníkov patria napríklad FIN6 a Cobalt Group,“ vysvetľuje Porolli.
Obe skupiny FIN6 a Cobalt Group sa agresívne zameriavajú na útoky na bankomaty, platobné systémy a finančné inštitúcie. Výskumníci spoločnosti ESET si myslia, že pri Evilnume, FIN6 a Cobalt Group sa jedná o tri odlišné kyberskupiny, ktoré však používajú služby spoločného dodávateľa.
Návnada v podobe fotky osobného dokladu.
„Skupina na obete útočí cielenými e-mailami, ktoré obsahujú odkaz na ZIP súbor nachádzajúci sa na Google Drive. Priečinok obsahuje niekoľko zástupcov súborov, ktoré po otvorení zobrazia návnadu a zároveň spustia škodlivý komponent,“ vysvetľuje formu infekcie Porolli. Zdá sa, že pri týchto návnadách ide o skutočné dokumenty obsahujúce osobné údaje. Skupina Evilnum sa zameriava hlavne na zamestnancov technickej podpory a account managerov investičných platforiem, ktorí pravidelne dostávajú kópie osobných dokumentov alebo informácie o platobných kartách priamo od svojich klientov.
Ako je pri mnohých škodlivých kódoch bežné, kyber skupina môže škodlivému kódu zasielať rôzne príkazy. Medzi ne patrí napríklad príkaz zozbierať a zaslať heslá uložené v prehliadači Google Chrome, vytvárať screenshoty, zastaviť samotný škodlivý kód a odstrániť ho, zozbierať Google Chrome cookies a zaslať ich na riadiaci server tohto škodlivého kódu.
V minulosti sa tento škodlivý kód skontaktoval so svojim riadiacim serverom vydelením istého čísla číslom 666, preto získal názov Evilnum. Od tejto formy kontaktu škodlivý kód už upustil, zároveň sa zdá, že tvorcovia mu dali názov Marvel. Aby však nedošlo k omylom, ESET bude aj naďalej nazývať škodlivý kód a túto skupinu Evilnum. Medzi jej ciele patrí malý počet veľmi špecifických spoločností. Tento fakt a taktiež zneužívanie legitímnych nástrojov na infekciu obetí umožnil tejto skupine skrývať sa pred výskumníkmi škodlivého kódu doteraz relatívne dobre.
O spoločnosti ESET
Spoločnosť ESET už vyše 30 rokov vyvíja popredný bezpečnostný softvér pre firmy i domácich používateľov na celom svete. Vďaka riešeniam chrániacim koncové a mobilné zariadenia, servery, šifrovaniu a dvojfaktorovej autentifikácii umožňuje firmám a organizáciám využívať plný potenciál ich technológií. ESET drží rekord v počte VB100 ocenení, ktoré udeľuje britský Virus Bulletin, vysoko-rešpektovaná nezávislá testovacia organizácia. Týždenník Trend ocenil ESET šesťkrát titulom Firma roka.
ESET sídli v Bratislave, regionálne pobočky má v Prahe, ČR; Jene, Mníchove, Nemecko; Bournemouthe, Veľká Británia; San Diegu, USA; Toronte, Kanada; Buenos Aires, Argentína; Sydney, Austrália, Singapure a japonskom Tokiu. Výskumné a vývojové centrá sú okrem Bratislavy, Košíc, Žiliny, Prahy a Brna aj v poľskom Krakove, britskom Tauntone, kanadskom Montreale a rumunskom Jasy. ESET má zastúpenie vo viac ako 200 krajinách a územiach sveta.