Proofpoint ha publicado un informe donde detallan los ataques reaalizados por el grupo TA4563 a entidades financieras y de inversión por medio del malware EvilNum. Se trata de un virus backdoor que se puede utilizar para reconocimiento, robo de datos y payloads adicionales. Además, incluye componentes que le ayuda a evadir su detección en función del software antivirus identificado.
Desde 2021 hasta ahora, las campañas de TA4563 se han dirigido principalmente a la industria de las finanzas descentralizadas (DeFi) con soporte en operaciones de cambios de divisas y criptomonedas. En estos ataques se ha empleado una versión actualizada del malware EvilNum junto a una mezcla variada de archivos ISO, Microsoft Word y Shortcut (LNK), presumiblemente a fin de probar la eficacia de los métodos de entrega. De esta manera, los ciberdelincuentes pueden experimentar qué es lo que les funciona y tener mayor probabilidad de éxito.
Los correos electrónicos maliciosos analizados por Proofpoint tenían como asunto algún tema relacionado con el registro a plataformas de trading financiero, llegando a sugerir a alguna víctima que tenía que presentar pruebas de propiedad de documentos perdidos. Cada vez hay más personas que conocen y apuestan por recursos financieros descentralizados y criptomonedas. Son sectores nuevos, poco regulados y en los que se usan tecnologías que pueden no estar debidamente protegidas. Todo ello hace que aumente el número de potenciales víctimas con estos ataques.
«Las organizaciones financieras, especialmente aquellas que operan en Europa y están interesadas en las criptomonedas, deben tomar consciencia de la actividad maliciosa del grupo TA4563. El desarrollo del malware de EvilNum está en activo y, desde Proofpoint, vemos que seguirá habiendo casos a medida que avancemos en el verano», comenta Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de la compañía.
Desde Proofpoint recomiendan a las organizaciones que formen a sus empleados en seguridad para que puedan identificar e informar sobre correos sospechosos. Asimismo, en el caso de ataques como los que analiza este informe sobre TA4563, es importante implementar herramientas que restrinjan el uso de archivos contenedores como los ISO y LNK, especialmente si son descargados de internet, además de bloquear la descarga y el acceso a los archivos RTF desde Word cuando proceda.
