Investigación sobre EvilNum

Nuestro socio tecnológico Cybereason, con su departamento de investigación Nocturnus descubren una nueva amenaza cibernética contra las empresas de tecnología financiera del Reino Unido y la Unión Europea.

En Kepler hemos detectado una ruta utilizada por criminales sofisticados de la industria financiera, retail, salud y gobierno. Desarrollan ataques a través de explotación de vulnerabilidades que son utilizadas en primera instancia en Estados Unidos, donde existe una inversión mayor en ciberseguridad (0,21% de su PIB), para pasar luego a Europa y Asia (con inversiones por 0,12% de su PIB) y terminar en países latinoamericanos donde la inversión es aún menor. En Chile y Perú tenemos un 0,07% del PIB invertido en ciberseguridad, lo que nos sitúa por atrás de estos países, con un retraso a la hora de detectar y/o bloquear amenazas nuevas.

En septiembre 2020 fue detectado por Nocturnus esta nueva amenaza, del grupo EvilNum utilizando varios trucos nuevos para implementar el malware PvVil RAT, incluida una desviación significativa de las herramientas observadas anteriormente, desde la cadena de infección hasta la persistencia y la infraestructura, que incluyen:

  • Versiones modificadas de ejecutables legítimos empleadas en un intento de pasar desapercibidas por las herramientas de seguridad.
  • La cadena de infección cambia de un troyano JavaScript con capacidades de puerta trasera (back door) a un procedimiento de delivery multiproceso del payload.
  • El nuevo RAT con script de Python denominado PyVil RAT se compiló con py2exe, que tiene la capacidad de descargar nuevos módulos para ampliar la funcionalidad.

Para obtener una copia de la investigación de EvilNum, puede solicitarlo completando este formulario.

KEPLER S.A | CHILE: Av Santa María 2880, Piso 4, oficina 401, Providencia, Santiago. | CP 7520422 | Teléfono: 56961177784

KEPLER S.A | PERU: Calle Emilio Cavenecia 225, Dpto 422, San Isidro, Lima. | Teléfono: 51987814750