Зловред похищает следующие конфиденциальные данные:
- информацию о кредитных картах и документы, удостоверяющие личность;
- электронные таблицы и документы со списками клиентов, сведениями об инвестициях и торговых операциях;
- внутренние презентации;
- лицензии на программное обеспечение и учетные данные для торгового программного обеспечения/торговых платформ;
- учетные данные электронной почты.
Пользователь получает письмо со ссылкой на Google Drive, по которой можно скачать ZIP-архив. В нем хранится несколько LNK-файлов (ярлыков). Сотрудник нажимает на один из них и запускает вредоносный компонент JavaScript.
Содержимое вредоносного ZIP-архива
Документы-приманки обычно маскируются под фотографии кредитных карт, документов, удостоверяющих личность, или счетов клиентов. Многие финтех-компании запрашивают такие данные для подтверждения личности. Поэтому сотрудник ничего не подозревает, когда видит такой файл и открывает его.Компонент JavaScript может развернуть другие вредоносные программы. Каждый из них имеет собственный C&C-сервер и умеет действовать независимо от других.
Все компоненты Evilnum представлены на рисунке ниже:
Компоненты Evilnum
- сбор и отправка паролей, сохраненных в Google Chrome;
- остановка и удаление вредоноса;
- сбор и отправка куки Google Chrome на C&C-сервер;
- сохранение скриншотов.
Подробнее о Evilnum — в блоге ESET.