Anzeige

Hackergruppe

Fintech-Unternehmen in der EU und Großbritannien sind das primäre Ziel der Hackergruppe hinter dem Schadprogramm Evilnum. ESET Forscher haben auf Welivesecurity.de eine eingehende Analyse zur Vorgehensweise der APT-Gruppe (Advanced Persistent Threat) und der eingesetzten Malware veröffentlicht.

Die Gruppe hinter Evilnum hat bei ihren Operationen das Ziel, die anvisierten Unternehmen zu infiltrieren, auszuspionieren und an sensible Daten wie Finanzinformationen des Opfers sowie deren Kunden zu gelangen.

„Das Schadprogramm ist mindestens seit 2018 aktiv. Bisher war aber nur wenig über die Gruppe dahinter bekannt“, sagt der ESET Forscher Matias Porolli, der die Untersuchung von Evilnum leitet. „Ihre Werkzeuge und die genutzte Infrastruktur haben sich enorm weiterentwickelt. Sie bestehen heute aus selbstentwickelten Schadprogrammen in Kombination mit Tools, die von einem Malware-as-a-Service Anbieter erworben wurden.“

Diebstahl von Unternehmensdaten und Finanzinformationen

„Die Zielunternehmen werden mit Spearphishing-E-Mails angeschrieben. Sie enthalten einen Link zu einer ZIP-Datei, die auf Google Drive gehostet wird. Dieses Archiv enthält mehrere Verknüpfungsdateien, die eine schädliche Komponente ausführen und gleichzeitig ein gefälschtes Dokument zur Tarnung anzeigen“, erläutert Porolli. Diese Lockvogeldokumente sehen glaubwürdig aus. Sie richten sich an Vertreter des technischen Supports und an Kundenbetreuer, die regelmäßig Ausweispapiere oder Kreditkarten von ihren Kunden erhalten.

Einmal im Unternehmensnetzwerk eingedrungen, versucht Evilnum vertrauliche Informationen, darunter Kreditkarteninformationen, Adress- und Ausweisdaten sowie andere Daten zu sammeln. Die Sammelwut des Schadprogramms geht aber weit darüber hinaus und beinhaltet auch IT-bezogene Informationen, wie zum Beispiel VPN-Konfigurationen.

Ablauf eines Angriffs mit der Evilnum-Malware

Wie bei vielen anderen Schadprogrammen auch, können die Cyberspione direkt Befehle an die Evilnum-Malware senden. Dazu gehören Kommandos zum Sammeln und Senden von gespeicherten Passwörtern, zum Erstellen von Screenshots, zum Stoppen der Malware und zur Selbstlöschung sowie zum Sammeln und Senden von Google Chrome-Cookies an einen Command-and-Control-Server.

Weitere technische Details zur Analyse über die Evilnum-Gruppe gibt es auf Welivesecurity.

www.eset.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

FinTech
Mai 06, 2020

Wie Versicherungen den Bereich FinTech für sich nutzen

Noch immer gehört die Digitalisierung zu den wichtigsten Entwicklungen und Trends in…
Bank
Feb 18, 2020

Hacking und Malware als Hauptursachen der Datenschutzverletzungen im Finanzwesen

Cloud-Security-Anbieter Bitglass hat seinen aktuellen Bericht zu Datenschutzverletzungen…
Phishing
Jan 25, 2020

Spear-Phishing auf dem Vormarsch

Aktuelle Phishingwellen beweisen es – die Cyberkriminellen sind kreativ. Nun muss man…

Weitere Artikel

Cybercrime

Phishing- und Malware-Kampagnen mit COVID-19-Bezug

Das IT-Sicherheitsunternehmen Tenable veröffentlichte vor Kurzem eine fundierte Analyse der signifikantesten Datensicherheitsverletzungen aus dem vergangenen Jahr. Der Bericht „Rückblick auf die Bedrohungslandschaft 2020“ analysiert unter anderem die…
Business Email Compromise

Business E-Mail Compromise: Weniger Technik, höhere Schäden

Ransomware ist unbestritten eine der größten Cyberbedrohungen für Unternehmen. Immer neue medienwirksame Fälle und die sich ständig weiterentwickelnde Technik haben ihren Teil dazu beigetragen, dass sich mittlerweile die meisten Unternehmen dieser Gefahr…
Hacker

Darknet: Der Aufstieg der Initial Access Broker durch das Home-Office

Home-Office in der Corona-Pandemie und neuer Malware-Technologien haben 2020 zu einem sprunghaften Anstieg beim Handel mit kompromittierten bzw. gehackten Fernzugriffen (Remote Access) geführt. Angebote rund um RDP-, VPN- und Citrix-Gateways haben einen neuen…
RDP

Home-Offices unter Beschuss: RDP-Angriffe steigen um 4.516 Prozent

Cyberkriminelle haben es in Deutschland, Österreich und der Schweiz massiv auf Unternehmen und deren Arbeitnehmer im Home-Office abgesehen. Allein im Dezember 2020 registrierte der europäische IT-Sicherheitshersteller ESET in diesen drei Ländern täglich…
Cybercrime

So setzen Hacker Cyberbedrohungen gezielt in der COVID-19-Pandemie ein

BlackBerry veröffentlicht den aktuellen BlackBerry Threat Report 2021, der einen starken Anstieg von Cyberbedrohungen für Unternehmen seit Beginn der COVID-19-Pandemie zeigt. Zudem lässt sich belegen, dass sich Cyberkriminelle nicht nur an neue Gewohnheiten…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!