Siber saldırganların gözü fintech şirketlerinde

ESET araştırmacıları, berbat gayeli Evilnum yazılımının gerisindeki Evilnum APT Grubu’nun faaliyetlerine ait kapsamlı bir tahlil yayınladı. Bu tahlile nazaran bu küme, online ticarete yönelik platform ve araçlar sağlayan finansal teknoloji şirketlerini gaye alıyor. Amaçlar şirketlerin birden fazla Avrupa devletlerinde ve İngiltere’de bulunsa da Avustralya ve Kanada üzere devletlerde de akınlar saptandı.

Hangi doküman yahut haberlere ulaşmaya çalışıyor?

Evilnum kümesinin asıl hedefi hem gaye alınan şirketlerin hem de müşterilerinin finansal haberlerini ele geçirmek. Evilnum, müşteri kredi kartı haberleri ve adres/kimlik evrakları, müşteri listelerinin bölge aldığı tablolar ve dokümanlar, yatırımlar ve ticari faaliyetler, yazılım lisansları ve ticaret yazılımlarının ya da platformlarının kimlik haberleri, e-posta haberleri ve vesair doneler de dahil olmak üzere hassas haberleri çalıyor. Küme, VPN yapılandırmaları üzere bilişim sistemlerine ait de erişim sağlıyor. Datalar, şirketlerde müşterilerinden tertipli olarak kimlik ya da kredi kartı haberlerini alan teknik destek temsilcileri ve hesap başkanlarının amaç alındığını gösteriyor.

Öteki karanlık kümelerle iş birliği yapıyor

Evilnum ile ilgili soruşturmayı yöneten siber güvenlik kompetanı Matias Porolli, şunları lisana getirdi “Bu istenilmeyen emelli yazılım en az 2018 yılından beri umarsızca kullanılıyor ve daha evvel belgelendirilmiş olmasına rağmen, bunun arkasındaki küme ve nasıl faaliyet gösterdiği hakkında çok az içerik yayımlandı. Tespitlerimize nazaran Evilnum, istenilmeyen maksatlı yazılım sağlayıcısı Golden Chickens’tan satın alındığı araçları da kullanarak, kişisel ve mesken imalatı istenilmeyen maksatlı yazılımlarla faaliyetlerini gerçekleştiriyor.

Akın nasıl gerçekleşiyor?

Porolli kelamlarını şöyle sürdürdü: “Hedeflere, içerisinde Google Drive’da barındırılan bir ZIP evrakı temasının yan aldığı kimlik avı dolandırıcılığı emelli e-postalarla yaklaşılıyor. O arşivin içerisinde, bir yandan beğenilmeyen emelli bir bileşeni ayıklayıp yürütürken, sair yandan da uydurma bir doküman görüntüleyen çok sayıda kısa yol belgesi mahal alıyor.

Parola yekuna, ekran imgesi alma…

Birçok beğenilmeyen hedefli kodda da olduğu üzere Evilnum, berbat hedefli yazılımına komutlar gönderilebiliyor. Bu komutlar arasında Google Chrome tarafından kaydedilen parolaları yekuna ve gönderme, ekran imgeleri alma, beğenilmeyen gayeli yazılımı durdurma ve sürekliliği kaldırma, Google Chrome çerezlerini yekuna ve bir komuta ve denetim sunucusuna gönderme üzere komutlar nokta alıyor.