Así opera el malware EvilNum

  • Actualidad

Criptoactivos

La firma de ciberseguridad Proofpoint ha analizado los ataques realizados por el grupo TA4563 en los últimos meses con el malware EvilNum dirigidos a criptomonedas y cambios de divisas. Las campañas con este virus backdoor están en activo y se dirigen principalmente al sector de las finanzas descentralizadas.

Recomendados: 

Claves de seguridad para las nuevas aplicaciones web y API. Ebook

Protegiendo los datos corporativos en aplicaciones basadas en cloud. Leer

Los investigadores de Proofpoint han publicado un informe en el que detallan los ataques del grupo de ciberdelincuencia TA4563 a entidades financieras y de inversión europeas con el malware conocido como EvilNum/DeathStalker. Se trata de un tipo de virus backdoor que puede utilizarse para reconocimiento, robo de datos o payloads adicionales, e incluye múltiples componentes que ayudan a evadir su detección y modificar rutas de infección en función del software antivirus identificado, ya sea Avast, AVG o Windows Defender.

Desde 2021 hasta ahora, las campañas de TA4563 se han dirigido principalmente a la industria de las finanzas descentralizadas (DeFi) con soporte en operaciones de cambios de divisas y criptomonedas. En estos ataques se ha empleado una versión actualizada del malware EvilNum junto a una mezcla variada de archivos ISO, Microsoft Word y Shortcut (LNK), presumiblemente para probar la eficacia de los métodos de entrega. De esta manera, los ciberdelincuentes pueden experimentar qué es lo que les funciona y tener mayor probabilidad de éxito. 

Los correos electrónicos maliciosos analizados por Proofpoint tenían como asunto algún tema relacionado con el registro a plataformas de trading financiero, llegando a sugerir a alguna víctima que tenía que presentar pruebas de propiedad de documentos perdidos. "Cada vez hay más personas que conocen y apuestan por recursos financieros descentralizados y criptomonedas. Son sectores nuevos, poco regulados y en los que se usan tecnologías que pueden no estar debidamente protegidas. Todo ello hace que aumente el número de potenciales víctimas con estos ataques", explica la firma, convencida de que seguirá habiendo casos a medida que avancemos en el verano.

Desde Proofpoint recomiendan a las organizaciones que formen a sus empleados en seguridad para que puedan identificar e informar sobre correos sospechosos. Asimismo, en el caso de ataques como los que analiza este informe sobre TA4563, es importante implementar herramientas que restrinjan el uso de archivos contenedores como los ISO y LNK, especialmente si son descargados de internet, además de bloquear la descarga y el acceso a los archivos RTF desde Word cuando proceda.