Evilnum Golden Chickens MaaS Кибератаки Новости Шпионаж

Хакеры из Evilnum атакуют финансовые фирмы новым RAT на Python

Хакеры из Evilnum атакуют финансовые фирмы новым RAT на Python

Кто смеялся, когда разговор заходил о вредоносах на Python? Хакеры из Evilnum в очередной раз доказывают, что это не смешно.

Хак-группа Evilnum известна тем, что атакует финансовый сектор, по меньшей мере с 2018 года. Атаки хакерской группы сосредоточено на территории стран ЕС и Англии, также зафиксированы атаки в Канаде и Австралии. Тогда использовались бэкдоры написанные на JS и C#, а также с помощью инструментов MaaS (малварь-как-услуга), приобретенных у группы Golden Chickens, также являющихся поставщиками вредоносов для таких известных хак-групп, как FIN6 и Cobalt.

В анализе, опубликованном на этой неделе исследователями Cybereason, говорится о том, что группа Evilnum не только изменила свою цепочку заражения, но и развернула RAT на написанный на Python под названием PyVil.

Ещё в начале года атаки Evilnum происходили следующим образом: пользователь получал фишинговое письмо со ссылкой на Google Drive, где можно скачать ZIP-файл. А в полученном архиве хранились несколько LNK-ярлыков, извлекающих и запускающих вредоносный JavaScript, при этом отображая документ-приманку для отвода глаз. Классика жанра.

Ярлыки замаскированные под картинки

С тех пор ситуация поменялась. Теперь бэкдоров, написанных на JavaScript, хакеры используют JavaScript-дроппер , загружающий вредоносные данные, скрытые в модифицированных версиях легитимных экзешников для того, чтобы избежать обнаружения антивирусами.

«Этот JavaScript — первая стадия в этой новой цепочке заражения, кульминацией которой загрузка RAT написанного на Python и скомпилированного с помощью py2exe, которую Nocturnus обозвали PyVil», — заявляют исследователи

Лоадер ddpp.exe после выполнения распаковывает шелл-код для установления связи с контрольным сервером хакеров, и получает второй зашифрованный исполняемый файл fplayer.exe, функционирующий, как загрузчик следующего этапа RAT на Python.

Так что если кто-то сомневается в том, что на Python можно создавать серьёзные инструменты — оставьте сомнения.

Очень злой админ
Очень злой админ Автор статьи

Админ сайта. Публикует интересные статьи с других ресурсов, либо их переводы. Если есть настроение, бывает, что пишет и что-то своё.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *