«إسيت» تقوم بأبحاث حول مجموعة البرامج الضارة Evilnum
أصدر الباحثون في شركة «إسيت» ESET تحليلهم المتعمق حول عمليات Evilnum الضارة، و مجموعات التهديد المستمر المتقدمة (APT) التي وراء برامج Evilnum الخبيثة. وفقًا لعمليات القياس عن بُعد من «إسيت»، فإن الأهداف الرئيسية لتلك الهجمات هي شركات التكنولوجيا المالية. على سبيل المثال، المنصات والأدوات لأعمال التجارة الإلكترونية. وعلى الرغم من أن معظم الأهداف تقع في دول الاتحاد الأوروبي والمملكة المتحدة، إلا ان «إسيت» لاحظت أيضًا وجود هجمات في دول أخرى مثل أستراليا وكندا. الهدف الرئيسي لمجموعة Evilnum هو التجسس على أهدافها والحصول على معلومات مالية من الشركات المستهدفة وعملائها.
صرح “ماتياس بورولي”، الباحث في شركة «إسيت» الذي يقود التحقيق حول Evilnum، وقال: “على الرغم من أن هذه البرامج الضارة شوهدت منذ عام 2018 وتم توثيقها مسبقًا، إلا أنه لم يتم نشر سوى القليل عن المجموعة التي تقف وراءها وكيفية عملها. لقد تطورت مجموعة أدواتها وبنيتها التحتية، وتتكون الآن من مزيج يحتوى على البرامج الضارة المخصصة بجانب الأدوات التي تم شراؤها منGolden Chickens، وهو موفر خدمات البرامج الخبيثة يضم عملاء سيئين السمعة مثل FIN6 ومجموعة Cobalt”.
يقوم Evilnum بسرقة المعلومات الحساسة، بما في ذلك معلومات بطاقة ائتمان العملاء ووثائق العنوان/الهوية؛ وجداول البيانات والوثائق مع قوائم العملاء والاستثمارات وعمليات التداول و التجارة؛ وتراخيص البرمجيات وبيانات الاعتماد لتداول البرامج/المنصات؛ وبيانات اعتماد البريد الإلكتروني؛ وغيرها من البيانات الهامة. تمكنت المجموعة أيضًا من الوصول إلى المعلومات المتعلقة بتكنولوجيا المعلومات، مثل تكوينات وتعريف VPN.
وأوضح “بورولي”: “يتم التعامل مع الأهداف من خلال رسائل البريد الإلكتروني التصيدية spearphishing التي تحتوي على رابط ملف ZIP مستضاف على “جوجل درايف”. يحتوي هذا الأرشيف على العديد من ملفات الاختصارات التي تستخرج وتنفذ مكونًا ضارًا، أثناء عرض المستند الخادع”. تبدو الوثائق الخادعه و كأنها حقيقية، ويتم جمعها بشكل مستمر ونشط في العمليات الحالية للمجموعة أثناء محاولتها المساومة على ضحايا جدد. ويستهدف ممثلي الدعم الفني ومديري الحسابات، الذين يتلقون بانتظام وثائق الهوية أو بطاقات الائتمان من عملائهم.
وكما هو الحال مع العديد من الرموز الخبيثة، يمكن إرسال الأوامر إلى. Evilnum من بين هذه الأوامر جمع كلمات مرور المحفوظة على”جوجل كروم” وإرسالها؛ التقاط لقطات من الشاشة؛ إيقاف البرامج الضارة؛ وجمع وإرسال ملفات تعريف الارتباط من “جوجل كروم” إلى خادم الأمر والتحكم.
ويختتم “بورولي” تصريحاته، قائلا: “تستفيد Evilnum من بنيتها التحتية الضخمة في عملياتها، مع العديد من الخوادم المختلفة لأنواع مختلفة من الاتصالات”.
