PyVil RAT, el nuevo malware de Evilnum

Se ha detectado un nuevo malware de tipo RAT, la última herramienta del grupo de ciberdelincuentes Evilnum.

La investigación se ha llevado a cabo por el grupo Nocturnus de la empresa de securidad Cybereason, el cual lleva investigando y siguiendo de cerca al grupo de ciberdelincuentes Evilnum desde su creación en 2018.

Esta investigación ha descubierto el malware PyRAT, un malware creado para intentar evadir los antivirus. Para llevar esto a cabo, los creadores han desarrollado el malware (o parte de él) en el lenguaje de programación Python, un lenguaje poco visto en el mundo del malware, ya que generalmente estos ciberdelincuentes utilizan principalmente lenguajes como C# y JavaScript, de ahí su nombre PyRAT, Python RAT.

La evolución de esta familia RAT (Remote Access Trojan) parece estar orientada al fintech, ingeniería financiera, muy en auge en estos tiempos y objetivo de ataque común para el grupo Evilnum.

La forma de difusión que ha escogido este grupo ha seguido siendo el spear phishing, una estafa llevada a cado a través del correo electrónico en cuyo contenido incrustan un documento, generalmente un PDF malicioso y un texto cebo para que la víctima clicke, posibilitando así la infección del sistema.

La infección además de contar con la recopilación de todo tipo de datos, como casi todos los malware, cuenta también con un Keylogger, una opción de capturado de pantalla e incluso utiliza una herramienta (LaZagne) para obtener las credenciales guardadas en los navegadores.

La evolución hacia este lenguaje de programación da a los investigadores pistas para creer que este grupo comenzará a lanzar nuevas y varias campañas de infección gracias al desarrollo ágil que permite Python.

Más información:

No Rest for the Wicked: Evilnum Unleashes PyVil RAT 
https://www.cybereason.com/blog/no-rest-for-the-wicked-evilnum-unleashes-pyvil-rat

Herramienta LaZagne
https://github.com/AlessandroZ/LaZagne