Výskumníci bezpečnostnej spoločnosti ESET analyzovali činnosť kybernetickej skupiny Evilnum, ktorá sa zameriava na fintech spoločnosti zaoberajúce sa online obchodom s akciami. Podľa údajov spoločnosti ESET sa väčšina obetí nachádza v krajinách Európskej únie, našli sa však aj prípady v Austrálii a v Kanade. Hlavným cieľom skupiny Evilnum je sledovať obete a získať finančné informácie o fintech firmách a taktiež o ich klientoch.
Evilnum kradne citlivé informácie vrátane údajov o platobných kartách, zoznamy klientov, dáta o investičných operáciách, prístupové údaje do investičných platforiem, prístupové údaje do e-mailových účtov a ďalšie dáta. Kradne aj kópie dokladov, ktoré sú zo zákona vyžadované pre overenie klientovej identity. Za takéto doklady sa považuje väčšinou občiansky preukaz, vodičský preukaz alebo pas.
Môže však ísť aj o kópiu účtu za elektrinu, plyn a podobne, na ktorom sa nachádza meno a adresa odberateľa. Skupina má taktiež prístup k technickým údajom svojich obetí, napríklad k nastaveniu ich virtuálnej privátnej siete (VPN).
„Tento škodlivý kód bol zdokumentovaný a o jeho existencii sa vie minimálne od roku 2018. O tejto kyberskupine a jej fungovaní však nebolo vydaných veľa informácií,“ hovorí Matias Porolli, výskumník spoločnosti ESET, ktorý vedie analýzu Evilnumu. „Ich nástroje a infraštruktúra sa postupne vyvinuli a v súčasnosti pozostávajú z na mieru vytvoreného škodlivého kódu skombinovaného s nástrojmi zakúpenými z Golden Chickens. Je to nelegálna platforma, ktorá poskytuje škodlivý kód ako službu. Medzi jej zákazníkov patria napríklad FIN6 a Cobalt Group,“ vysvetľuje Porolli.
Obe skupiny FIN6 a Cobalt Group sa agresívne zameriavajú na útoky na bankomaty, platobné systémy a finančné inštitúcie. Výskumníci spoločnosti ESET si myslia, že pri Evilnume, FIN6 a Cobalt Group sa jedná o tri odlišné kyberskupiny, ktoré však používajú služby spoločného dodávateľa.
Návnada v podobe fotky osobného dokladu.
„Skupina na obete útočí cielenými e-mailami, ktoré obsahujú odkaz na ZIP súbor nachádzajúci sa na Google Drive. Priečinok obsahuje niekoľko zástupcov súborov, ktoré po otvorení zobrazia návnadu a zároveň spustia škodlivý komponent,“ vysvetľuje formu infekcie Porolli. Zdá sa, že pri týchto návnadách ide o skutočné dokumenty obsahujúce osobné údaje. Skupina Evilnum sa zameriava hlavne na zamestnancov technickej podpory a account managerov investičných platforiem, ktorí pravidelne dostávajú kópie osobných dokumentov alebo informácie o platobných kartách priamo od svojich klientov.
Ako je pri mnohých škodlivých kódoch bežné, kyber skupina môže škodlivému kódu zasielať rôzne príkazy. Medzi ne patrí napríklad príkaz zozbierať a zaslať heslá uložené v prehliadači Google Chrome, vytvárať screenshoty, zastaviť samotný škodlivý kód a odstrániť ho, zozbierať Google Chrome cookies a zaslať ich na riadiaci server tohto škodlivého kódu.
V minulosti sa tento škodlivý kód skontaktoval so svojim riadiacim serverom vydelením istého čísla číslom 666, preto získal názov Evilnum. Od tejto formy kontaktu škodlivý kód už upustil, zároveň sa zdá, že tvorcovia mu dali názov Marvel. Aby však nedošlo k omylom, ESET bude aj naďalej nazývať škodlivý kód a túto skupinu Evilnum. Medzi jej ciele patrí malý počet veľmi špecifických spoločností. Tento fakt a taktiež zneužívanie legitímnych nástrojov na infekciu obetí umožnil tejto skupine skrývať sa pred výskumníkmi škodlivého kódu doteraz relatívne dobre.