{"id":8547,"date":"2020-08-03T11:10:04","date_gmt":"2020-08-03T15:10:04","guid":{"rendered":"https:\/\/www.notaoficial.com\/s\/?p=8547"},"modified":"2020-08-03T09:16:38","modified_gmt":"2020-08-03T13:16:38","slug":"eset-analiza-evilnum-grupo-que-dirige-sus-ataques-a-la-industria-fintech","status":"publish","type":"post","link":"https:\/\/www.notaoficial.com\/s\/2020\/08\/03\/eset-analiza-evilnum-grupo-que-dirige-sus-ataques-a-la-industria-fintech\/","title":{"rendered":"ESET analiza Evilnum, grupo que dirige sus ataques a la industria fintech"},"content":{"rendered":"<p><a href=\"https:\/\/www.eset.com\/latam\/?utm_source=ESET+2020&amp;utm_campaign=b3bc59729e-EMAIL_CAMPAIGN_2020_01_07_07_36_COPY_01&amp;utm_medium=email&amp;utm_term=0_c9f4328145-b3bc59729e-\">ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, analiz\u00f3 las operaciones de Evilnum, el grupo APT (En espa\u00f1ol, Amenaza Persistente Avanzada) detr\u00e1s del malware Evilnum, que se identific\u00f3 en ataques contra compa\u00f1\u00edas de tecnolog\u00eda financiera.<\/p>\n<p>Seg\u00fan datos aportados por la telemetr\u00eda de ESET, <b>los objetivos de Evilnum son compa\u00f1\u00edas de tecnolog\u00eda financiera<\/b>; por ejemplo, compa\u00f1\u00edas que ofrecen plataformas y herramientas para realizar trading en l\u00ednea. La mayor\u00eda de los objetivos se encuentran en pa\u00edses de la UE y el Reino Unido, tambi\u00e9n se identificaron ataques en pa\u00edses como Australia y Canad\u00e1 y, por lo general, son empresas que cuentan con oficinas en varios lugares, lo que explica la diversidad geogr\u00e1fica de los ataques.<\/p>\n<p>El <b>objetivo principal del grupo Evilnum es espiar y obtener informaci\u00f3n financiera tanto de las empresas a las que apunta como de sus clientes<\/b>. Algunos ejemplos del tipo de informaci\u00f3n que este grupo roba son:<\/p>\n<ul>\n<li>Hojas de c\u00e1lculo y documentos con listas de clientes, inversiones y operaciones de trading.<\/li>\n<li>Presentaciones internas<\/li>\n<li>Licencias de software y credenciales para software\/plataformas de trading<\/li>\n<li>Cookies e informaci\u00f3n de sesi\u00f3n de navegadores<\/li>\n<li>Credenciales de correo electr\u00f3nico<\/li>\n<li>Informaci\u00f3n de la tarjeta de cr\u00e9dito del cliente y comprobantes de documentos de domicilio\/ identidad<\/li>\n<\/ul>\n<p>Este malware se identific\u00f3 en el a\u00f1o 2018 y si bien fue documentado, no hay mucha informaci\u00f3n sobre el grupo detr\u00e1s y c\u00f3mo funciona. Los investigadores de ESET lo analizaron, y establecen acercan un panorama detallado de las actividades de Evilnum. Sus objetivos son las compa\u00f1\u00edas Fintech, y sus herramientas e infraestructura evolucionaron hasta estar compuesto por malware personalizado, desarrollado por el propio grupo, combinado con herramientas compradas a un proveedor de Malware-as-a-Service (MaaS). Este t\u00e9rmino se usa para describir a los creadores de malware que ofrecen no solo sus binarios maliciosos, sino tambi\u00e9n cualquier infraestructura necesaria (como los servidores de C&amp;C) e incluso soporte t\u00e9cnico a los cibercriminales que tienen como clientes.<\/p>\n<p>Los objetivos son alcanzados mediante correos electr\u00f3nicos de spearphishing (Se trata de una estafa de suplantaci\u00f3n de identidad dirigida v\u00eda correo electr\u00f3nico que ocurre con una intenci\u00f3n maliciosa) que contienen un enlace a un archivo ZIP alojado en Google Drive. Ese archivo contiene varios archivos LNK (tambi\u00e9n conocido como acceso directo) que extraen y ejecutan un componente JavaScript malicioso, mientras se muestra un documento utilizado como se\u00f1uelo. Estos archivos de acceso directo tienen \u201cextensiones dobles\u201d para intentar enga\u00f1ar al usuario y que los abra pensando que son documentos o im\u00e1genes benignas (en Windows, las extensiones de archivo para tipos de archivo conocidos est\u00e1n ocultas de forma predeterminada).<\/p>\n<p>Una vez que se abre un archivo de acceso directo, busca en los contenidos de su propio archivo l\u00edneas con un marcador espec\u00edfico y las escribe en un archivo\u00a0.js. Luego, este archivo JavaScript malicioso es ejecutado y, adem\u00e1s de abrir, escribe un archivo se\u00f1uelo con el mismo nombre que el acceso directo, pero con la extensi\u00f3n correcta. Tambi\u00e9n elimina el archivo de acceso directo. Los documentos utilizados como se\u00f1uelo son principalmente fotos de tarjetas de cr\u00e9dito, documentos de identidad o facturas con comprobante de domicilio, ya que muchas instituciones financieras requieren estos documentos de sus clientes cuando se unen.<\/p>\n<p>El componente JavaScript es la primera etapa del ataque y puede distribuir otro malware, como un componente esp\u00eda\u00a0o varias herramientas basadas en Python. Cada uno de los diversos componentes tiene su propio servidor C&amp;C, y cada componente funciona de manera independiente. Los operadores del malware env\u00edan comandos manualmente para instalar componentes adicionales y usan scripts y herramientas post-compromiso en caso de considerarlo necesario.<\/p>\n<p>Dentro de la versi\u00f3n 4.0 est\u00e1n presentes las siguientes capacidades:<\/p>\n<ul>\n<li>Toma capturas de pantalla si el mouse ha sido movido en un per\u00edodo de tiempo y las env\u00eda, codificadas en base64, al C&amp;C. La imagen es almacenada en un archivo llamado\u00a0SC4.P7D<\/li>\n<li>Ejecuta comandos<\/li>\n<li>Ejecuta otros binarios a trav\u00e9s de\u00a0cmd.exe<\/li>\n<li>Env\u00eda informaci\u00f3n, como el nombre de la computadora, nombre de usuario y antivirus instalado<\/li>\n<li>Persiste en un sistema comprometido creando claves de registro<\/li>\n<\/ul>\n<p><i>\u201cEl grupo Evilnum ha estado operando durante al menos dos a\u00f1os y est\u00e1 activo al momento publicar esta informaci\u00f3n. Los objetivos son muy espec\u00edficos y no numerosos. Esto, y el uso por parte del grupo de herramientas leg\u00edtimas en su cadena de ataque, han mantenido sus actividades en gran medida bajo el radar. Gracias a los datos la telemetr\u00eda de ESET pudimos unir los puntos y descubrir c\u00f3mo funciona el grupo, descubriendo algunas \u00e1reas en com\u00fan con otros grupos APT conocidos. Creemos que este y otros grupos comparten el mismo proveedor de MaaS, y que el grupo Evilnum a\u00fan no puede asociarse con ning\u00fan ataque anterior de ning\u00fan otro grupo APT.\u201d, <\/i>mencion\u00f3 Matias Porolli, Analista de Malware de ESET a cargo de la investigaci\u00f3n.<\/p>\n<p>En el contexto de aislamiento por el COVID-19, los expertos de ESET acercan <a href=\"https:\/\/www.eset.com\/latam\/empresas\/ciberseguridad-empresas-covid\/\">materiales educativos y herramientas \u00fatiles para aumentar la seguridad de las empresas<\/a>. A trav\u00e9s de gu\u00edas y art\u00edculos, explican c\u00f3mo la situaci\u00f3n actual impulsa hacia\u00a0nuevos desaf\u00edos y cu\u00e1les son los beneficios que se podr\u00e1 obtener de ello. Adem\u00e1s, desde ESET, apuestan al <a href=\"https:\/\/www.eset.com\/latam\/empresas\/teletrabajo-seguro\/\"><b>Teletrabajo Seguro<\/b><\/a>\u00a0ofreciendo a los usuarios la posibilidad de<b>\u00a0<\/b>descargar sin cargo infograf\u00edas, gu\u00edas y\u00a0<i>checklist<\/i>\u00a0para administradores de TI, como as\u00ed tambi\u00e9n\u00a0solicitar licencias gratuitas\u00a0para probar sus <a href=\"https:\/\/www.eset.com\/latam\/empresas\/seguridad-para-endpoints\/\"><b>soluciones de doble autenticaci\u00f3n, protecci\u00f3n para\u00a0<\/b><b><i>endpoints<\/i><\/b><b>\u00a0y administraci\u00f3n remota<\/b><\/a><b>.<\/b><\/p>\n","protected":false},"excerpt":{"rendered":"<p>ESET, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, analiz\u00f3 las operaciones de Evilnum, el grupo APT (En espa\u00f1ol, Amenaza Persistente Avanzada) detr\u00e1s del malware Evilnum, que se identific\u00f3 en ataques contra compa\u00f1\u00edas de tecnolog\u00eda financiera. Seg\u00fan datos aportados por la telemetr\u00eda de ESET, los objetivos de Evilnum son compa\u00f1\u00edas de tecnolog\u00eda financiera; por ejemplo, compa\u00f1\u00edas [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":8553,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[93,986,2],"tags":[988],"wppr_data":{"cwp_meta_box_check":"No"},"_links":{"self":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/8547"}],"collection":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/comments?post=8547"}],"version-history":[{"count":1,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/8547\/revisions"}],"predecessor-version":[{"id":8554,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/8547\/revisions\/8554"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/media\/8553"}],"wp:attachment":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/media?parent=8547"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/categories?post=8547"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/tags?post=8547"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}