PyVil RAT da Evilnum tem como alvo empresas FinTech

O que aconteceu recentemente?

Um trojan de acesso remoto (RAT) baseado em Python, apelidado de PyVil, surgiu como uma mudança na cadeia de infecção e uma expansão da infraestrutura usada pelo grupo Evilnum APT.

• Como parte de uma mudança em seus TTPs, Evilnum adicionou o PyVil RAT ao seu arsenal para exfiltrar dados, executar keylogging e tirar screenshots.
• O grupo APT usou as regulamentações Know Your Customer (KYC) como isca nos e-mails de spear-phishing direcionados a empresas fintec no Reino Unido e na UE.

Um novo RAT monta sua toca

• PyVil RAT é basicamente uma extensão Python que ajuda a converter scripts Python em executáveis ​​do Microsoft Windows, adicionando sua capacidade de baixar novos módulos para expandir a funcionalidade.
• Além disso, as funcionalidades do RAT incluem atuar como keylogger, tirar screenshots, descartar e carregar scripts Python, coletar informações de antivírus e versões de navegador instaladas na máquina, entre outros.
• O grupo usa ferramentas como More_eggs, TerraPreter, TerraStealer, ferramenta de coleta de credenciais LaZagne e TerraTV, junto com outras ofertas de malware como serviço de um provedor underground conhecido como Golden Chickens.

Visto pela última vez

Em julho de 2020 , o grupo Evilnum lançou ataques de spear-phishing para obter informações financeiras das empresas-alvo e de seus clientes em países da UE, Reino Unido, Austrália e Canadá.

Em essência

O grupo Evilnum APT conseguiu desenvolver sua experiência no uso de executáveis ​​legítimos durante o estágio de infecção, em uma tentativa de permanecer furtivo e não ser detectado pelas ferramentas de segurança. A adição de tais novas ferramentas permite que o grupo Evilnum infecte mais alvos e espera-se que continue sua onda de expansão em um futuro próximo.

Fonte: https://cyware.com/news/evilnums-pyvil-rat-target-fintech-companies-f25fe8eb