ESET ontdekt netwerk achter Evilnum-malware dat financiële instellingen aanviel

Beveiligingsbedrijf ESET heeft een crimineel netwerk ontdekt dat achter de Evilnum-malware zat. De groep erachter gebruikte servers die onder andere in Nederland stonden. De hackers richtten zich voornamelijk op financiële instellingen.

ESET deed onderzoek naar de groep achter de Evilnum-malware. Die malware is sinds februari 2019 actief en lijkt zich voornamelijk op financiële instellingen te richten. Volgens ESET heeft de groep de malware recentelijk veranderd door er andere tools en een malware-as-a-service-model aan toe te voegen.

Volgens ESET doet de groep gerichte aanvallen richting financiële instellingen zoals banken en fintechbedrijven zoals cryptobeurzen, met name in Azië. De aanvallers proberen zo financiële gegevens te stelen. Het gaat dan onder andere om documenten met namen van klanten, cookies, inloggegevens voor e-mail en creditcardinformatie. De aanvallers komen meestal binnen via een spearphishingmail met een zip-file die op Google Drive wordt gehost.

In het zip-bestand zitten bestanden die zich voordoen als een standaarddocument, zoals een afbeelding van een identiteitsdocument. In werkelijkheid wordt er op de achtergrond JavaScript-code uitgevoerd. Die code kan weer contact leggen met een command-and-control-server die andere malware inlaadt.

De malware die wordt ingeladen, komt van verschillende bronnen die volgens ESET allemaal een eigen c&c-server hebben. De malware wordt niet automatisch ingeladen; dat gebeurt handmatig door de aanvallers. Zo wordt er zowel JavaScript- als C#-malware ingeladen via een geparste GitHub-pagina en er wordt een .msi-bestand gedownload.

ESET zegt dat de meeste c&c-servers die de criminelen gebruiken in Oekraïne staan, maar een klein aantal staat bij een Nederlandse hostingprovider. De criminelen gebruiken in een klein deel van gevallen ook een malware-as-a-service-component. Het gaat om de infrastructuur van een provider genaamd Golden Chickens, die ook gebruikt wordt door de Colbalt Group die ook vaak financiële instellingen aanvalt.

ESET doet niet aan attributie voor de groep. Het bedrijf zegt dat er weliswaar veel overlap is met andere advanced persistent threat-groepen, maar dat dat vooral komt omdat die dezelfde malware-as-a-service-provider gebruiken.

Door Tijs Hofmans

Nieuwscoördinator

09-07-2020 • 11:30

7

Reacties (7)

7
7
2
1
0
1
Wijzig sortering
De URL naar het onderzoek van ESET met meer technische uitleg en screenshots: https://www.welivesecurit...eep-look-evilnum-toolset/
Altijd leuk om reverse engineering van malware en het verkeer uitgelegd te zien in begrijpbare taal.

EDIT: inmiddels is deze ook toegevoegd aan het artikel

[Reactie gewijzigd door Tweekzor op 24 juli 2024 10:23]

Het zou de schrijver dan sieren om daar even melding van te maken als EDIT in het artikel
De aanvallers komen meestal binnen via een spearphishingmails met een zip-file die op Google Drive wordt gehost.
Dat is volgens mij niet relevant. Bestanden staan ook op dropbox, firefox send, wetransfer, etc., etc.

Firefox Send is offline gehaald door de illegale uploads en kijken hoe dat op te lossen is (verplicht account natuurlijk niet).
nieuws: Mozilla stopt tijdelijk met Firefox Send om malware-misbruik tegen te...

[Reactie gewijzigd door DJMaze op 24 juli 2024 10:23]

IMO is het wel relevant als ze meestal Google Drive gebruiken. Dan weet lezers waar ze extra op moeten letten. Je kan een lezer wel een hele lijst geven maar de kans is klein dat ze elk van de genoemde sites onthouden en dubbel checken voor ze iets gaan doen.
Moet je überhaupt iets downloaden/openen?

Als je een e-mail krijgt van Fred (je kent hem, maar via ander e-mailadres en ziet dat niet).
Of je even de zip wil downloaden en openen, doe je dat?
Moet je überhaupt iets downloaden/openen?

Als je een e-mail krijgt van Fred (je kent hem, maar via ander e-mailadres en ziet dat niet).
Of je even de zip wil downloaden en openen, doe je dat?
Dat weet ik ook wel, maar helaas weten nog heel veel mensen dat niet. (Anders was dit ook niet een probleem an zich)
Het mooie is dat Google gebruik maakt van ESET voor antivirus op hun diensten

Op dit item kan niet meer gereageerd worden.