PyVil RAT: el troyano de Evilnum con la vista puesta en las fintech

Es probable que hasta ahora no hubieras escuchado hablar de PyVil RAT. Es más, es una prueba más del esfuerzo que sus creadores, el grupo Evilnum, han puesto para conseguir mantenerlo por debajo del radar. Pero, mala suerte para los malvados, la compañía de ciberseguridad Cybereason ha llevado a cabo una investigación que ha permitido sacar este RAT a la luz, contándonos cómo se está difundiendo y, claro, qué podemos esperar del mismo.

No sorprende que PyVil RAT apunte a las empresas fintech al saber que se trata de la última (hasta el momento) herramienta de Evilnum, pues desde la primera aparición de este grupo, allá 2018, se ha especializado en atacar a este tipo de empresas, principalmente en Europa, aunque en ocasiones también ha apuntado a Estados Unidos y a Australia. Durante este tiempo, eso sí, han demostrado una gran capacidad de adaptación y evolución, no acomodándose en herramientas y tácticas concretas. En opinión de expertos, este es uno de los puntos por los que sus campañas suelen ser tan efectivas.

Una muestra de esa constante evolución viene señalada en el nombre de PyVil RAT, más concretamente en sus dos primeras letras, que indican que se trata de un script desarrollado en Python. Es la primera vez, al menos que se conozca, que el grupo emplea este lenguaje de programación. Hasta ahora habían desarrollado sus herramientas con Javascript y C#.

En cuanto a PyVill RAT, sus responsables han seguido apostando por el spearphishing para su difusión, si bien ahora, en vez de incluir el troyano en un archivo comprimido, lo hacen pasar por un documento Pdf que, en realidad, es un archivo .lnk que se encarga de conectar el sistema con el servidor de comando y control para descargar su carga útil y, de este modo, estar ya plenamente operativo para llevar a cabo sus operaciones.

¿Y qué acciones son esas? PyVil RAT se centra en la recopilación de información. Para tal fin cuenta instala un keylogger que se complementa con la función de captura de pantalla y la capacidad de recopilar información sobre el sistema infectado, incluida la versión de Windows que se está ejecutando, qué productos antivirus están instalados y si hay dispositivos USB conectados. Dado que, como ya hemos comentado, la campaña se ha dirigido a empresas del sector fintech, es fácilmente imaginable lo sensible de la información que puede capturar este troyano, información que, exfiltrada al servidor, queda a disposición de Evilnum.

Algo en lo que coinciden los investigadores es en que PyVil RAT muestra un alto nivel de sofisticación. Se sabe muy poco de Evilnum como APT, pero tanto por el código de sus patógenos, como por la capacidad de evolución y adaptación de sus responsables, sin duda hablamos de un grupo muy profesional y que cuenta con un buen volumen de recursos para poder planificar y gestionar sus campañas. Todo apunta a que, aunque PyVil RAT ya ha sido detectado, el grupo sigue activo y más temprano que tarde nos sorprenderá con una neuva campaña.

«Seguimos viendo aparecer muestras del malware y vemos que la infraestructura de los actores de amenazas sigue activa. La mejor forma de protección es la educación, mejorando la higiene de la seguridad y enseñando a los empleados a no ser engañados para que abran correos electrónicos de phishing y no descarguen información de sitios web dudosos«, afirma Tom Fakterman, responsable de la investigación que ha descubierto PyVil RAT.

La entrada PyVil RAT: el troyano de Evilnum con la vista puesta en las fintech es original de MuySeguridad. Seguridad informática.