I ricercatori di Proofpoint – società specializzata in cybersecurity – hanno pubblicato una nuova analisi che mostra come, dal 2021 a oggi, il gruppo di minacce TA4563 (noto anche come EvilNum o DeathStalker) abbia colpito organizzazioni finanziarie e di investimento europee, puntando di recente esclusivamente a quelle del settore della finanza decentralizzata (DeFi) con operazioni di supporto al cambio e alle criptovalute.
Sherrod DeGrippo, Vice President, Threat Research and Detection di Proofpoint, ha spiegato: “Le organizzazioni finanziarie, in particolare quelle che operano in Europa nel settore delle criptovalute, dovrebbero essere ben consapevoli dell’attività di TA4563.
Il malware del gruppo, noto come EvilNum, è in fase di sviluppo attivo, e Proofpoint continua a vedere attività correlate durante l’estate”.
Il malware EvilNum è una backdoor che può essere utilizzata per la ricognizione, il furto di dati o per caricare payload aggiuntivi, e include molteplici componenti per eludere il rilevamento e modificare i percorsi di infezione in base al software antivirus identificato.
Il malware EvilNum e il gruppo TA4563 rappresentano un rischio concreto per le organizzazioni finanziarie, ha sottolineato la società di cybersecurity.
Dalla fine del 2021 a oggi, Proofpoint ha osservato che questo gruppo ha preso di mira diverse entità finanziarie e di investimento europee, con recenti campagne che hanno preso di mira esclusivamente il settore della DeFi.
Le campagne hanno consegnato una versione aggiornata della backdoor EvilNum utilizzando una serie di file ISO, Microsoft World e Shortcut (.LNK) via email.
In base alle analisi effettuate, Proofpoint ha affermato che il malware di TA4563 è in fase di sviluppo attivo.
Sebbene il team di Proofpoint non abbia osservato payload successivi distribuiti nelle campagne identificate, le segnalazioni di terze parti indicano che il malware EvilNum può essere sfruttato per distribuire altro malware, compresi gli strumenti disponibili tramite il malware-as-a-service Golden Chickens.
I ricercatori della società di cybersecurity mettono anche in evidenza che TA4563 ha modificato i propri tentativi di compromettere le vittime utilizzando vari metodi di consegna.
Sebbene Proofpoint abbia osservato questa attività e fornito aggiornamenti del rilevamento per contrastarla, la società fa notare anche che un avversario persistente continuerà a modificare la propria postura nei tentativi di compromissione.
La ricerca completa è disponibile e consultabile online, sul sito di Proofpoint.
