Beveiligingsbedrijf ESET heeft een crimineel netwerk ontdekt dat achter de Evilnum-malware zat. De groep erachter gebruikte servers die onder andere in Nederland stonden. De hackers richtten zich voornamelijk op financiële instellingen.
ESET deed onderzoek naar de groep achter de Evilnum-malware. Die malware is sinds februari 2019 actief en lijkt zich voornamelijk op financiële instellingen te richten. Volgens ESET heeft de groep de malware recentelijk veranderd door er andere tools en een malware-as-a-service-model aan toe te voegen.
Volgens ESET doet de groep gerichte aanvallen richting financiële instellingen zoals banken en fintechbedrijven zoals cryptobeurzen, met name in Azië. De aanvallers proberen zo financiële gegevens te stelen. Het gaat dan onder andere om documenten met namen van klanten, cookies, inloggegevens voor e-mail en creditcardinformatie. De aanvallers komen meestal binnen via een spearphishingmail met een zip-file die op Google Drive wordt gehost.
In het zip-bestand zitten bestanden die zich voordoen als een standaarddocument, zoals een afbeelding van een identiteitsdocument. In werkelijkheid wordt er op de achtergrond JavaScript-code uitgevoerd. Die code kan weer contact leggen met een command-and-control-server die andere malware inlaadt.
De malware die wordt ingeladen, komt van verschillende bronnen die volgens ESET allemaal een eigen c&c-server hebben. De malware wordt niet automatisch ingeladen; dat gebeurt handmatig door de aanvallers. Zo wordt er zowel JavaScript- als C#-malware ingeladen via een geparste GitHub-pagina en er wordt een .msi-bestand gedownload.
ESET zegt dat de meeste c&c-servers die de criminelen gebruiken in Oekraïne staan, maar een klein aantal staat bij een Nederlandse hostingprovider. De criminelen gebruiken in een klein deel van gevallen ook een malware-as-a-service-component. Het gaat om de infrastructuur van een provider genaamd Golden Chickens, die ook gebruikt wordt door de Colbalt Group die ook vaak financiële instellingen aanvalt.
ESET doet niet aan attributie voor de groep. Het bedrijf zegt dat er weliswaar veel overlap is met andere advanced persistent threat-groepen, maar dat dat vooral komt omdat die dezelfde malware-as-a-service-provider gebruiken.