Evilnum kradne osobné údaje. Zameriava sa na pracovníkov technickej podpory

ESET analyzoval činnosť kybernetickej skupiny Evilnum, ktorá sa zameriava na fintech spoločnosti zaoberajúce sa online obchodovaním s akciami. Podľa spoločnosti sa väčšina obetí nachádza v krajinách Európskej únie, objavili sa však aj prípady v Austrálii a v Kanade.

Hlavným cieľom zločineckej skupiny Evilnum je sledovať obete a získať finančné informácie o fintech firmách a o ich klientoch. Evilnum kradne citlivé informácie vrátane údajov o platobných kartách, zoznamy klientov, dáta o investičných operáciách, prístupové údaje do investičných platforiem, prístupové údaje do e-mailových účtov a ďalšie dáta.

Evilnum kradne aj kópie dokladov, ktoré sa vyžadujú pre overenie identity klienta, teda občiansky alebo vodičský preukaz, resp. pas. Môže ísť aj o účet za elektrinu, plyn či telefón, na ktorom sa nachádza meno a adresa odberateľa. Kyberzločinci majú prístup k technickým údajom svojich obetí, napríklad k nastaveniu ich VPN.

Ako Evilnum kradne údaje?

Zločinci útočia cielenými e-mailami obsahujúci odkaz na ZIP súbor uložený na Disk Google. V priečinku sa nachádza niekoľko zástupcov súborov, ktoré po otvorení zobrazia návnadu a zároveň spustia škodlivý komponent.

Zdá sa, že pri týchto návnadách ide o skutočné dokumenty obsahujúce osobné údaje. Evilnum sa zameriava hlavne na zamestnancov technickej podpory a account managerov investičných platforiem. Práve tí pravidelne dostávajú kópie osobných dokumentov a informácie o platobných kartách priamo od svojich klientov, preto im takáto pošta nepripadá podozrivá.

Kyberskupina môže škodlivému kódu zasielať rôzne príkazy, napríklad zozbierať a odoslať heslá uložené v Google Chrome, vytvárať screenshoty, zastaviť samotný škodlivý kód a odstrániť ho, zozbierať Google Chrome cookies a poslať ich na riadiaci server tohto škodlivého kódu.

V minulosti sa tento škodlivý kód skontaktoval so svojim riadiacim serverom vydelením istého čísla číslom 666, preto získal názov Evilnum. Od tejto formy kontaktu škodlivý kód už upustil, teraz sa zdá, že autori mu dali označenie Marvel. Aby však nedošlo k omylom, ESET bude aj naďalej nazývať škodlivý kód a túto skupinu Evilnum.

Medzi jej ciele patrí malý počet veľmi špecifických spoločností. Tento fakt a taktiež zneužívanie legitímnych nástrojov na infekciu obetí umožnil tejto skupine skrývať sa pred výskumníkmi škodlivého kódu doteraz pomerne úspešne.

„Tento škodlivý kód bol zdokumentovaný a o jeho existencii sa vie minimálne od roku 2018. O tejto kyberskupine a jej fungovaní však nebolo vydaných veľa informácií,“ hovorí Matias Porolli, výskumník z ESET-u, ktorý vedie analýzu Evilnumu. „Ich nástroje a infraštruktúra sa postupne vyvinuli a v súčasnosti pozostávajú z na mieru vytvoreného škodlivého kódu skombinovaného s nástrojmi zakúpenými z Golden Chickens. Je to nelegálna platforma, ktorá poskytuje škodlivý kód ako službu. Medzi jej zákazníkov patria napríklad FIN6 a Cobalt Group,“ dodáva.

Obe skupiny FIN6 a Cobalt Group sa agresívne zameriavajú na útoky na bankomaty, platobné systémy a finančné inštitúcie. Výskumníci z ESET-u sa nazdávajú, že pri Evilnume, FIN6 a Cobalt Group sa jedná o tri odlišné kyberskupiny, ktoré však používajú služby spoločného dodávateľa.