A equipe de pesquisa de ameaças da Proofpoint observou o grupo de hackers, apelidado de TA4563, visando várias empresas financeiras e de investimento europeias com o malware EvilNum
EvilNum é um backdoor que pode ser usado para roubar dados ou baixar cargas adicionais de malware. As campanhas observadas mais recentemente pelo grupo visaram exclusivamente empresas do setor financeiro descentralizado (Finanças Descentralizadas: DeFi). Anteriormente, no entanto, as organizações envolvidas no negócio de câmbio ou no comércio de criptomoedas também entraram na mira dos invasores.
DeathStalker ou EvilNum no trabalho
Durante sua investigação, a Proofpoint descobriu que as atividades do TA4563 se sobrepõem parcialmente a ataques comumente associados a um grupo conhecido como DeathStalker ou EvilNum. Algumas das atividades observadas pelo Proofpoint também se sobrepõem aos ataques EvilNum descritos por Zscaler em junho de 2022.
As campanhas agora identificadas pelos especialistas em segurança da Proofpoint distribuíram uma versão atualizada do backdoor EvilNum no final de 2021 e início de 2022. Os criminosos usaram uma mistura de diferentes tipos de ataques usando ISO, Microsoft Word e arquivos de link (LNK). Isso provavelmente pretendia testar a eficácia dos métodos de divulgação.
“As empresas financeiras, principalmente aquelas que lidam com criptomoedas na Europa, devem estar cientes das atividades do TA4563. O malware do grupo, conhecido como EvilNum, está em desenvolvimento ativo e a Proofpoint está observando que a atividade cibercriminosa não está diminuindo”, comentou Sherrod DeGrippo, vice-presidente de pesquisa e detecção de ameaças da Proofpoint.
curso das campanhas
A Proofpoint observou a primeira campanha em dezembro de 2021. As mensagens enviadas pelo TA4563 pretendiam estar relacionadas com o registo da plataforma financeira ou documentos relacionados. Documentos do Microsoft Word foram usados para distribuir uma versão atualizada do backdoor EvilNum.
No início de 2022, o grupo continuou a visar empresas financeiras com uma nova variação da campanha de e-mail original, usando vários URLs do OneDrive apontando para um arquivo ISO ou .LNK. Para fazer isso, os invasores usaram uma isca financeira para induzir o destinatário a executar a carga útil do EvilNum. Campanhas subseqüentes também enviaram um arquivo .LNK compactado como um canal de distribuição adicional para EvilNum.
Enquanto o grupo de hackers manteve seu objetivo no meio deste ano, sua metodologia mudou novamente. Nas campanhas de meados de 2022, o TA4563 distribuiu documentos do Microsoft Word projetados para baixar um modelo remoto. O documento anexado gerou trocas de arquivos com o domínio "http://outlookfnd[.]com", que provavelmente é controlado pelos criminosos cibernéticos relacionados ao EvilNum.
Perigo do MalNum
O malware EvilNum e o grupo TA4563 representam uma ameaça real para as organizações financeiras.De acordo com a análise da Proofpoint, o malware TA4563 ainda está em desenvolvimento ativo. Embora os especialistas em segurança ainda não tenham observado uma carga útil de acompanhamento, relatórios de outros pesquisadores de segurança indicam que o malware EvilNum pode ser usado para fazer isso. O TA4563 adaptou suas tentativas de prender as vítimas usando uma variedade de métodos. Como tal, as organizações devem permanecer vigilantes e educar seus funcionários para acompanhar as táticas e táticas em constante mudança dos cibercriminosos.
Mais em proofpoint.com
Sobre o Proofpoint A Proofpoint, Inc. é uma empresa líder em cibersegurança. O foco da Proofpoint é a proteção dos funcionários. Porque estes representam o maior capital para uma empresa, mas também o maior risco. Com um conjunto integrado de soluções de segurança cibernética baseadas em nuvem, a Proofpoint ajuda organizações em todo o mundo a interromper ameaças direcionadas, proteger seus dados e educar os usuários corporativos de TI sobre os riscos de ataques cibernéticos.