Waspada Malware Evilnum Serang Fintech

Fintech atau financial technology merupakan inovasi dalam bidang jasa keuangan atau finansial. Inovasi yang dimaksud adalah inovasi finansial yang diberikan sentuhan teknologi modern.

Sederhananya, fintech adalah jenis perusahaan di bidang jasa keuangan yang digabungkan dengan teknologi. Bisa juga diartikan sebagai segmen di dunia startup yang membantu untuk memaksimalkan penggunaan teknologi untuk mempertajam, mengubah, dan mempercepat berbagai aspek pelayanan keuangan.

Pesatnya perkembangan fintech di dunia mendorong kelompok penjahat siber untuk menargetkan mereka, salah satunya adalah Evilnum, kelompok APT di balik malware Evilnum yang sebelumnya terlihat dalam serangan terhadap perusahaan teknologi keuangan.

Sementara malware mereka diketahui telah terlihat beredar di dunia maya sejak setidaknya 2018 dan telah didokumentasikan sebelumnya, namun hanya sedikit yang telah dipublikasikan tentang grup di belakangnya dan bagaimana ia beroperasi.

Targetnya tetap perusahaan fintech, tetapi toolset dan infrastrukturnya telah berkembang dan sekarang terdiri dari campuran custom, malware buatan sendiri dikombinasikan dengan alat yang dibeli dari Golden Chickens, penyedia Malware-as-a-Service (MaaS) yang pelanggan terkenalnya termasuk FIN6 dan Grup Cobalt.

Target

Menurut telemetri ESET, targetnya adalah perusahaan teknologi keuangan misalnya, perusahaan yang menawarkan platform dan alat untuk perdagangan online. Biasanya, perusahaan yang ditargetkan memiliki kantor di beberapa lokasi, yang mungkin menjelaskan keragaman geografis serangan.

Tujuan utama grup Evilnum adalah memata-matai targetnya dan mendapatkan informasi keuangan dari perusahaan yang dituju dan pelanggan mereka. Beberapa contoh informasi yang dicuri oleh grup ini meliputi:

  • Spreadsheet dan dokumen dengan daftar pelanggan, investasi, dan operasi perdagangan

  • Presentasi internal

  • Lisensi dan kredensial perangkat lunak untuk platform / perangkat lunak perdagangan

  • Cookie dan informasi sesi dari browser

  • Kredensial email

  • Informasi kartu kredit pelanggan dan bukti alamat/dokumen identitas

    Menurut apa yang telah ESET lihat selama investigasi, grup ini juga mendapatkan akses ke informasi terkait IT seperti konfigurasi VPN.

Trik serangan

  • Target didekati dengan email spearphishing yang berisi tautan ke file ZIP yang dihosting di Google Drive.

  • Arsip itu berisi beberapa file LNK (alias pintasan) yang mengekstrak dan mengeksekusi komponen JavaScript berbahaya, sambil menampilkan dokumen umpan.

  • File pintasan ini memiliki “ekstensi ganda” untuk mencoba menipu pengguna agar membukanya, berpikir bahwa itu adalah dokumen atau gambar yang tidak berbahaya (di Windows, ekstensi file untuk jenis file yang dikenal disembunyikan secara default).

  • Setelah file pintasan dibuka (tidak masalah yang mana, karena mereka semua melakukan hal yang sama), file tersebut akan melihat isi file sendiri untuk baris dengan marker tertentu dan menulisnya ke file .js.

  • Kemudian file JavaScript berbahaya ini dijalankan dan ia menulis serta membuka file umpan dengan nama yang sama dengan pintasan, tetapi ekstensi yang benar. Itu juga menghapus file cara pintas.

  • Dokumen yang digunakan sebagai umpan sebagian besar adalah foto kartu kredit, dokumen identitas, atau tagihan dengan bukti alamat, karena banyak lembaga keuangan memerlukan dokumen-dokumen ini dari pelanggan mereka ketika mereka bergabung, menurut peraturan (ini dikenal sebagai “Kenali Pelanggan Anda”).

Dokumen umpan ini tampak asli, dan kami berasumsi bahwa dokumen tersebut telah dikumpulkan oleh kelompok ini selama bertahun-tahun beroperasi.

Dokumen dikumpulkan secara aktif dalam operasi grup saat ini, karena menargetkan perwakilan dukungan teknis dan manajer akun, yang secara teratur menerima dokumen semacam ini dari pelanggan mereka. Grup penjahat ini menggunakan kembali dokumen pada target yang berbeda, kecuali jika targetnya dari berbagai daerah.

Grup Evilnum telah beroperasi setidaknya selama dua tahun dan memiliki infrastruktur untuk operasinya dengan beberapa server yang berbeda. Bagi perusahaan fintech Evilnum merupakan ancaman nyata dan tidak bisa dianggap sepele, kewaspadaan harus dikedepankan dan menerapkan sistem keamanan berlapis.