9 июля 2020 466

Сложная схема. Новый вредонос Evilnum атакует финтех-компании

Эксперты ESET обнаружили шпионскую программу Evilnum, атакующую финтех-компании и их клиентов.

Зловред похищает следующие конфиденциальные данные:

  • информацию о кредитных картах и документы, удостоверяющие личность;
  • электронные таблицы и документы со списками клиентов, сведениями об инвестициях и торговых операциях; 
  • внутренние презентации; 
  • лицензии на программное обеспечение и учетные данные для торгового программного обеспечения/торговых платформ;
  • учетные данные электронной почты. 
Преступники также могут получить доступ к информации, связанной с ИТ-инфраструктурой. Например, к конфигурации VPN.

Пользователь получает письмо со ссылкой на Google Drive, по которой можно скачать ZIP-архив. В нем хранится несколько LNK-файлов (ярлыков). Сотрудник нажимает на один из них и запускает вредоносный компонент JavaScript.

Содержимое вредоносного ZIP-архива 

Документы-приманки обычно маскируются под фотографии кредитных карт, документов, удостоверяющих личность, или счетов клиентов. Многие финтех-компании запрашивают такие данные для подтверждения личности. Поэтому сотрудник ничего не подозревает, когда видит такой файл и открывает его.

Компонент JavaScript может развернуть другие вредоносные программы. Каждый из них имеет собственный C&C-сервер и умеет действовать независимо от других.

Все компоненты Evilnum представлены на рисунке ниже:


Компоненты Evilnum

Вредонос может выполнять разные команды:
  • сбор и отправка паролей, сохраненных в Google Chrome;
  • остановка и удаление вредоноса; 
  • сбор и отправка куки Google Chrome на C&C-сервер; 
  • сохранение скриншотов.
По данным ESET, подавляющее число атак сосредоточено на территории стран Европейского союза и Соединенного Королевства, также несколько атак зафиксировано в Канаде и Австралии.

Подробнее о Evilnum — в блоге ESET.

Комментарии

0
Оставьте комментарий!