Хакеры из Evilnum атакуют финансовые фирмы новым RAT на Python

Кто смеялся, когда разговор заходил о вредоносах на Python? Хакеры из Evilnum в очередной раз доказывают, что это не смешно.

Хак-группа Evilnum известна тем, что атакует финансовый сектор, по меньшей мере с 2018 года. Атаки хакерской группы сосредоточено на территории стран ЕС и Англии, также зафиксированы атаки в Канаде и Австралии. Тогда использовались бэкдоры написанные на JS и C#, а также с помощью инструментов MaaS (малварь-как-услуга), приобретенных у группы Golden Chickens, также являющихся поставщиками вредоносов для таких известных хак-групп, как FIN6 и Cobalt.

В анализе, опубликованном на этой неделе исследователями Cybereason, говорится о том, что группа Evilnum не только изменила свою цепочку заражения, но и развернула RAT на написанный на Python под названием PyVil.

Ещё в начале года атаки Evilnum происходили следующим образом: пользователь получал фишинговое письмо со ссылкой на Google Drive, где можно скачать ZIP-файл. А в полученном архиве хранились несколько LNK-ярлыков, извлекающих и запускающих вредоносный JavaScript, при этом отображая документ-приманку для отвода глаз. Классика жанра.

С тех пор ситуация поменялась. Теперь бэкдоров, написанных на JavaScript, хакеры используют JavaScript-дроппер , загружающий вредоносные данные, скрытые в модифицированных версиях легитимных экзешников для того, чтобы избежать обнаружения антивирусами.

“Этот JavaScript – первая стадия в этой новой цепочке заражения, кульминацией которой загрузка RAT написанного на Python и скомпилированного с помощью py2exe, которую Nocturnus обозвали PyVil”, – заявляют исследователи

Лоадер ddpp.exe после выполнения распаковывает шелл-код для установления связи с контрольным сервером хакеров, и получает второй зашифрованный исполняемый файл fplayer.exe, функционирующий, как загрузчик следующего этапа RAT на Python.

Так что если кто-то сомневается в том, что на Python можно создавать серьёзные инструменты – оставьте сомнения.