Los investigadores de Cybereason Nocturnus descubren una nueva amenaza cibernética contra las empresas de tecnología financiera del reino unido y la unión europea

Cybereason, socio tecnológico de Kepler y líder en seguridad de endpoints, reveló a comienzo de septiembre 2020 una nueva investigación de su equipo de Nocturnus Research, titulada No Rest for the Wicked: EvilNum Unleashes PyVil RAT. La investigación detalla una nueva amenaza dirigida y generalizada contra las empresas de tecnología financiera del Reino Unido y la Unión Europea por parte del Grupo EvilNum APT. Los investigadores de Cybereason también descubrieron PvVil, un nuevo troyano de acceso remoto (RAT) con script de Python, que se está implementando para robar contraseñas, documentos, cookies del navegador y credenciales de correo electrónico.

Nocturnus descubrió EvilNum utilizando varios trucos nuevos para implementar el malware PvVil RAT, incluida una desviación significativa de las herramientas observadas anteriormente, desde la cadena de infección hasta la persistencia y la infraestructura, que incluyen:

• Versiones modificadas de ejecutables legítimos empleadas en un intento de pasar desapercibidas por las herramientas de seguridad.
• La cadena de infección cambia de un troyano JavaScript con capacidades de puerta trasera (back door) a un procedimiento de delivery multiproceso del payload.
• El nuevo RAT con script de Python denominado PyVil RAT se compiló con py2exe, que tiene la capacidad de descargar nuevos módulos para ampliar la funcionalidad.

“El grupo EvilNum continúa con el método de infección probado en el tiempo de usar correos electrónicos de phishing para infectar empresas. Las empresas necesitan evolucionar constantemente su stack de seguridad para permitir un descubrimiento y remediación de amenazas más efectivo. Los empleados de las empresas no deben abrir archivos adjuntos de correo electrónico de fuentes desconocidas y deben evitar descargar información de sitios web dudosos ”, dijo Tom Fakterman, investigador de amenazas de Cybereason.

Para revisar la investigación de EvilNum, puede seguir este enlace.

Sobre Cybereason
Cybereason, partner comercial de Kepler S.A., son creadores de la plataforma líder Cybereason Defense Platform, devuelve la ventaja al defensor a través de un enfoque completamente nuevo de la ciberseguridad. Cybereason ofrece prevención, detección y respuesta de endpoints y monitoreo activo. La solución ofrece prevención de endpoints de múltiples capas al aprovechar las técnicas de firma y sin firma para prevenir amenazas conocidas y desconocidas junto con técnicas de comportamiento y de engaño para prevenir ransomware y ataques sin archivos. Cybereason es una empresa internacional privada, con sede en Boston, MA, con clientes en más de 30 países.