Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Português
Computer Security O Novo PyVil RAT/Ameaça Persistente Avançada Aparece no...

O Novo PyVil RAT/Ameaça Persistente Avançada Aparece no Arsenal do Malware Evilnum

Por Basete em Computer Security
Traduzir Para:
Português

Ataque APT Evilnum Evilnum é o nome de um grupo de Ameaça Persistente Avançada ou APT. Os especialistas em segurança identificaram esse grupo pela primeira vez em 2018. Por sua existência relativamente curta, o Evilnum esteve envolvido em uma série de ataques. Embora as ferramentas usadas pelos cibercriminosos tenham mudado com o tempo, os alvos permaneceram consistentes. A Evilnum foi e continua perseguindo empresas de tecnologia financeira (fintech). As atividades da Evilnum têm se concentrado em empresas na UE e no Reino Unido, embora haja casos de alvos localizados no Canadá e na Austrália. Uma das mais recentes adições ao arsenal do Evilnum é um trojan de acesso remoto escrito em Python que os pesquisadores chamaram de PyVil RAT.

Em ataques recentes, o Evilnum não se desviou de seu MO. Eles ainda favorecem ataques de spear phishing direcionados com precisão em vez de campanhas de phishing mais genéricas. Em ataques anteriores, os cibercriminosos arquivavam quatro arquivos .lnk diferentes usando zip. Esses arquivos seriam posteriormente substituídos por um arquivo .jpg . Com PyVil RAT Evilnum optou por arquivar apenas um .lnk posando como .pdf contendo vários documentos, como fotos de cartão de crédito, contas ou fotos de identificação.
Anteriormente, o arquivo .lnk gravava um arquivo JavaScript no disco e, ao executá-lo, substituía o .lnk por um .pdf . Desta vez, o JavaScript é usado apenas como um conta-gotas na cadeia de infecção. O resultado final é o PyVil RAT baixado e compilado usando a extensão Python Distutils py2exe.

O PyVil RAT tem muitas funções para acomodar as necessidades dos cibercriminosos. Alguns dos seus recursos mais notáveis incluem:

  • Keylogger
  • Executar comandos cmd
  • Fazer capturas de tela
  • Fazer o download de módulos Python adicionais
  • Eliminar e enviar arquivos executáveis
  • Iniciar um shell SSH
  • Coletar dados do sistema

O PyVil RAT é modular. O RAT contém um módulo de configuração que pode fornecer a versão atual do PyVil RAT, bem como domínios para os servidores C&C e agentes de software para comunicação C&C. A comunicação C&C passa por solicitações POST HTTP . O Evilnum usa uma cifra de fluxo RC4 com uma chave codificada com base64 para criptografia de comunicação C&C. A funcionalidade modular é ativada por meio de uma versão personalizada do Projeto LaZagne que PyVil pode receber do servidor C&C.

O PyVil RAT é apenas uma das novas ferramentas utilizadas pelo Evilnum. Semelhante a muitos outros grupos APT, tais como o APT29 por exemplo, o Evilnum está constantemente trabalhando em novas técnicas e táticas. Isso permite que esse tipo de cibercriminosos representem uma ameaça significativa à cibersegurança em qualquer nível.

Carregando...