EvilNum ist ein Trojaner, der erstmals 2018 entdeckt wurde, der sich hauptsächlich gegen Finanzunternehmen und -organisationen weltweit richtet. Der Betrieb des ermöglicht es den Angreifern, sich über einen längeren Zeitraum in den infizierten Netzwerken zu verstecken und im Hintergrund böswillige Vorgänge auszuführen. (Quelle: hiz)

 

Unternehmen in der Schweiz, aber auch in den EU-Ländern, sollten derzeit genau auf ihre eingehenden E-Mails achten. Die Hacker-Gruppe EvilNum ist derzeit wieder sehr aktiv und hat es gezielt auf FinTech-Firmen abgesehen. Mit sogenannten Spear-Phishing-Mails, also ganz gezielten Attacken gegen ausgewählte Ziele, sollen die Empfänger dazu gebracht werden, einen Link zu einer ZIP-Datei anzuklicken und diese zu extrahieren. Diese enthält neben einer Rechnung und Ausweisdokumenten auch ein Schadprogramm. Auf den ersten Blick sehen die enthaltenen Unterlagen korrekt aus, um Misstrauen beim Empfänger zu vermeiden. Mit der Operation will EvilNum die anvisierten Unternehmen infiltrieren, ausspionieren und an sensible Informationen über die Finanzinstitute sowie deren Kunden gelangen. "Verstärkte Aktivitäten der EvilNum-Gruppe gegen FinTech-Unternehmen konnten wir im Dezember und Januar feststellen", erklärt Matías Porolli, ESET-Forscher. "EvilNum ist für uns keine unbekannte Gruppe und bereits seit mindestens 2018 aktiv. Das Know-your-Customer-Verfahren setzen FinTech-Unternehmen ein, um die Identität ihrer Nutzer zu verifizieren. Die Hackergruppe nutzt mit ihrer Operation genau dieses Prinzip als Zugang ins Unternehmensnetzwerk. Wir sehen derzeit, dass die Gruppe ihre Werkzeuge hierfür deutlich verbessert hat."

 

Die EvilNum Gruppe bedient sich einer relativ komplexen Architektur um ihre Opfer auszuspähen. (Quelle: ESET)

 

Wie laufen die Angriffe ab?

Der Angriffsvektor von EvilNum folgt dem Muster, sich dem Ziel mit Spear-Phishing-E-Mails zu nähern. Zielgruppen in den Unternehmen sind hauptsächlich der Support sowie Kundenbetreuer. Die Nachrichten enthalten einen Link zu einer ZIP-Datei. Nach dem Extrahieren führen bösartige .LNK-Dateien zu vermeintlich legitimen Ausweisdokumenten zur Tarnung. Im Hintergrund infiziert das ebenfalls darin enthaltene Schadprogramm die Unternehmensnetzwerke. Hiernach versucht die Malware, vertrauliche Informationen, darunter Kreditkarteninformationen, Adress- und Ausweisdaten sowie andere Informationen zu sammeln.

 

Wer oder was ist EvilNum?

Bereits seit 2018 beobachten und analysieren ESET-Forscher die Gruppe EvilNum. Die Hacker greifen mit Advanced Persistent Threats (APT) vor allem FinTech-Unternehmen an. Bereits 2020 heben die Experten eine umfassende Analyse zu EvilNum veröffentlicht. Die Gruppe hat es besonders auf Ziele in EU-Ländern, Großbritannien und der Schweiz abgesehen. Es gab aber auch Angriffe in Australien und Kanada.

 

Siehe auch:

https://twitter.com/ESETresearch

https://www.eset.com/de/