El equipo de investigación de amenazas de Proofpoint ha observado que el grupo de piratas informáticos, denominado TA4563, apunta a varias empresas financieras y de inversión europeas con el malware EvilNum.
EvilNum es una puerta trasera que se puede utilizar para robar datos o descargar cargas de malware adicionales. Las campañas observadas más recientemente del grupo se dirigieron exclusivamente a empresas del sector financiero descentralizado (Finanzas descentralizadas: DeFi). Anteriormente, sin embargo, las organizaciones involucradas en el negocio de divisas o el comercio de criptomonedas también entraron en el punto de mira de los atacantes.
DeathStalker o EvilNum en el trabajo
Durante su investigación, Proofpoint descubrió que las actividades de TA4563 se superponen parcialmente con ataques comúnmente asociados con un grupo conocido como DeathStalker o EvilNum. Parte de la actividad observada por Proofpoint también se superpone con los ataques EvilNum descritos por Zscaler en junio de 2022.
Las campañas ahora identificadas por los expertos en seguridad de Proofpoint distribuyeron una versión actualizada de la puerta trasera EvilNum a fines de 2021 y principios de 2022. Los delincuentes utilizaron una combinación de diferentes tipos de ataques utilizando ISO, Microsoft Word y archivos de enlace (LNK). Esto probablemente tenía la intención de probar la efectividad de los métodos de difusión.
“Las empresas financieras, en particular las que comercian con criptomonedas en Europa, deben estar al tanto de las actividades de TA4563. El malware del grupo, conocido como EvilNum, está en desarrollo activo, y Proofpoint actualmente observa que la actividad de los ciberdelincuentes no se está desacelerando”, comentó Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en Proofpoint.
curso de las campañas
Proofpoint observó la primera campaña en diciembre de 2021. Los mensajes enviados por TA4563 pretendían estar relacionados con el registro de la plataforma financiera o documentos relacionados. Se utilizaron documentos de Microsoft Word para distribuir una versión actualizada de la puerta trasera EvilNum.
A principios de 2022, el grupo continuó apuntando a empresas financieras con una nueva variación de la campaña de correo electrónico original, utilizando varias URL de OneDrive que apuntan a un archivo ISO o .LNK. Para hacer esto, los atacantes usaron un señuelo financiero para engañar al destinatario para que ejecutara la carga útil de EvilNum. Las campañas posteriores también enviaron un archivo .LNK comprimido como canal de distribución adicional para EvilNum.
Si bien el grupo de hackers mantuvo su objetivo a mediados de este año, su metodología volvió a cambiar. A mediados de las campañas de 2022, TA4563 distribuyó documentos de Microsoft Word diseñados para descargar una plantilla remota. El documento adjunto generó intercambios de archivos con el dominio "http://outlookfnd[.]com", que probablemente esté controlado por los ciberdelincuentes relacionados con EvilNum.
Peligro de EvilNum
El malware EvilNum y el grupo TA4563 representan una amenaza real para las organizaciones financieras Según el análisis de Proofpoint, el malware TA4563 aún está en desarrollo activo. Aunque los expertos en seguridad aún no han observado una carga útil de seguimiento, los informes de otros investigadores de seguridad indican que el malware EvilNum podría usarse para hacerlo. TA4563 ha adaptado sus intentos de atrapar a las víctimas utilizando una variedad de métodos. Como tal, las organizaciones deben permanecer vigilantes y educar a sus empleados para mantenerse al día con las tácticas y tácticas en constante cambio de los ciberdelincuentes.
Más en proofpoint.com
Acerca de Proofpoint Proofpoint, Inc. es una empresa líder en ciberseguridad. El enfoque de Proofpoint es la protección de los empleados. Porque estos significan el mayor capital para una empresa, pero también el mayor riesgo. Con un conjunto integrado de soluciones de ciberseguridad basadas en la nube, Proofpoint ayuda a las organizaciones de todo el mundo a detener las amenazas dirigidas, proteger sus datos y educar a los usuarios de TI empresariales sobre los riesgos de los ciberataques.