Nie mehr wichtige Faktenchecks verpassen!
Melden Sie sich für unseren WhatsApp-Channel, die Smartphone-App (für iOS und Android) oder unseren Newsletter an und erhalten Sie alle Faktenchecks und Updates sofort. Einfach anmelden, immer einen Schritt voraus!


ESET-Forscher veröffentlichen umfangreiche Analyse zur Arbeitsweise der Evilnum-Gruppe

Fintech-Unternehmen in der EU und Großbritannien sind das primäre Ziel der Hackergruppe hinter dem Schadprogramm Evilnum. ESET-Forscher haben auf Welivesecurity.de eine eingehende Analyse zur Vorgehensweise der APT-Gruppe (Advanced Persistent Threat) und der eingesetzten Malware veröffentlicht. Die Gruppe hinter Evilnum hat bei ihren Operationen das Ziel, die anvisierten Unternehmen zu infiltrieren, auszuspionieren und an sensible Daten wie Finanzinformationen des Opfers sowie deren Kunden zu gelangen.

„Das Schadprogramm ist mindestens seit 2018 aktiv. Bisher war aber nur wenig über die Gruppe dahinter bekannt“,

sagt der ESET-Forscher Matias Porolli, der die Untersuchung von Evilnum leitet.

„Ihre Werkzeuge und die genutzte Infrastruktur haben sich enorm weiterentwickelt. Sie bestehen heute aus selbstentwickelten Schadprogrammen in Kombination mit Tools, die von einem Malware-as-a-Service-Anbieter erworben wurden.“

Diebstahl von Unternehmensdaten und Finanzinformationen

„Die Zielunternehmen werden mit Spearphishing-E-Mails angeschrieben. Sie enthalten einen Link zu einer ZIP-Datei, die auf Google Drive gehostet wird.

Dieses Archiv enthält mehrere Verknüpfungsdateien, die eine schädliche Komponente ausführen und gleichzeitig ein gefälschtes Dokument zur Tarnung anzeigen“,

erläutert Porolli. Diese Lockvogeldokumente sehen glaubwürdig aus. Sie richten sich an Vertreter des technischen Supports und an Kundenbetreuer, die regelmäßig Ausweispapiere oder Kreditkarten von ihren Kunden erhalten.

[mk_ad]

Einmal im Unternehmensnetzwerk eingedrungen, versucht Evilnum vertrauliche Informationen, darunter Kreditkarteninformationen, Adress- und Ausweisdaten sowie andere Daten zu sammeln. Die Sammelwut des Schadprogramms geht aber weit darüber hinaus und beinhaltet auch IT-bezogene Informationen, wie zum Beispiel VPN-Konfigurationen.

Ablauf eines Angriffs mit der Evilnum-Malware

Wie bei vielen anderen Schadprogrammen auch, können die Cyberspione direkt Befehle an die Evilnum-Malware senden. Dazu gehören Kommandos zum Sammeln und Senden von gespeicherten Passwörtern, zum Erstellen von Screenshots, zum Stoppen der Malware und zur Selbstlöschung sowie zum Sammeln und Senden von Google Chrome-Cookies an einen Command-and-Control-Server.

Weitere technische Details zur Analyse über die Evilnum-Gruppe gibt es auf Welivesecurity.

Das könnte dich auch interessieren: MacOS rückt weiter in den Fokus von Hackern

Quelle: ESET Deutschland GmbH
Artikelbild: Who is Danny / Shutterstock


Wenn dir dieser Beitrag gefallen hat und du die Bedeutung fundierter Informationen schätzt, werde Teil des exklusiven Mimikama Clubs! Unterstütze unsere Arbeit und hilf uns, Aufklärung zu fördern und Falschinformationen zu bekämpfen. Als Club-Mitglied erhältst du:

📬 Wöchentlichen Sonder-Newsletter: Erhalte exklusive Inhalte direkt in dein Postfach.
🎥 Exklusives Video* „Faktenchecker-Grundkurs“: Lerne von Andre Wolf, wie du Falschinformationen erkennst und bekämpfst.
📅 Frühzeitiger Zugriff auf tiefgehende Artikel und Faktenchecks: Sei immer einen Schritt voraus.
📄 Bonus-Artikel, nur für dich: Entdecke Inhalte, die du sonst nirgendwo findest.
📝 Teilnahme an Webinaren und Workshops: Sei live dabei oder sieh dir die Aufzeichnungen an.
✔️ Qualitativer Austausch: Diskutiere sicher in unserer Kommentarfunktion ohne Trolle und Bots.

Mach mit und werde Teil einer Community, die für Wahrheit und Klarheit steht. Gemeinsam können wir die Welt ein bisschen besser machen!

* In diesem besonderen Kurs vermittelt dir Andre Wolf, wie du Falschinformationen erkennst und effektiv bekämpfst. Nach Abschluss des Videos hast du die Möglichkeit, dich unserem Rechercheteam anzuschließen und aktiv an der Aufklärung mitzuwirken – eine Chance, die ausschließlich unseren Club-Mitgliedern vorbehalten ist!


Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)