I ricercatori di Proofpoint hanno pubblicato una nuova analisi che mostra come, dal 2021 a oggi, il gruppo di minacce TA4563 (AKA EvilNum/ DeathStalker) abbia colpito organizzazioni finanziarie e di investimento europee, puntando di recente esclusivamente a quelle del settore della finanza decentralizzata (DeFi) con operazioni di supporto al cambio e alle criptovalute.
“Le organizzazioni finanziarie, in particolare quelle che operano in Europa nel settore delle criptovalute, dovrebbero essere ben consapevoli dell’attività di TA4563”, spiega Sherrod DeGrippo, Vice President, Threat Research and Detection di Proofpoint. “Il malware del gruppo, noto come EvilNum, è in fase di sviluppo attivo, e Proofpoint continua a vedere attività correlate durante l’estate”.
Il malware EvilNum è una backdoor che può essere utilizzata per la ricognizione, il furto di dati o per caricare payload aggiuntivi, e include molteplici componenti interessanti per eludere il rilevamento e modificare i percorsi di infezione in base al software antivirus identificato.
Il malware EvilNum e il gruppo TA4563 rappresentano un rischio concreto per le organizzazioni finanziarie. Dalla fine del 2021 a oggi, Proofpoint ha osservato che questo gruppo ha preso di mira diverse entità finanziarie e di investimento europee, con recenti campagne che hanno preso di mira esclusivamente il settore della DeFi.
Le campagne hanno consegnato una versione aggiornata della backdoor EvilNum utilizzando una serie di file ISO, Microsoft World e Shortcut (.LNK) via e-mail. La ricerca completa è disponibile QUI.