恶意软件 “EvilNum” 侵袭欧洲金融机构

关键要点

• “EvilNum” 恶意软件针对欧洲金融公司，并创建后门以窃取数据。
• 该恶意软件的目标不仅是加密货币行业，还包括外汇和大宗商品交易公司。
• 近期此恶意软件的使用方式有所演变，结合了多种文件格式以测试传送机制。
• 赠品卡诈骗在网络犯罪中日益流行，损失金额显著上升。

根据 Proofpoint 的研究，网络犯罪分子正在利用 “EvilNum”
恶意软件针对欧洲金融公司，目的在于在其系统中创建后门以窃取数据。面对最近的市场崩溃，加密货币和去中心化金融 (DeFi) 行业的公司再次遭到猛烈攻击。

研究人员称这一威胁行为者为 TA4563，其 “EvilNum” 恶意软件主要瞄准专注于外汇交易、大宗商品及加密货币和 DeFi的金融与投资公司。这种恶意软件在其系统中创建后门，允许网络犯罪分子窃取宝贵信息，或等待机会进一步侵入这些金融平台。根据 Proofpoint发布的关键发现，EvilNum 恶意软件 “包含多个有趣的组件以规避检测，以及根据识别出的杀毒软件修改感染路径”。

恶意软件攻击的特征

Proofpoint 的威胁研究副总裁 Sherrod DeGrippo 指出，EvilNum 报告中描述的活动包括低频量的有针对性攻击。尽管目标包括与
DeFi 相关的组织，但“所使用的恶意软件用于侦察和数据窃取，并不特定于加密货币盗窃，”DeGrippo 在采访中表示。

Proofpoint 从 2021年末开始跟踪这个恶意软件组及其对欧洲金融和投资公司的 “EvilNum” 攻击。最近，这一威胁组在其活动中彻底专注于
DeFi 行业，还与另一个名为 “” 的黑客组织有重叠。DeathStalker 活动已有至少四年之久。6 月底，Zscaler也发表了关于 EvilNum 攻击的报告，注意到其早前针对金融科技 (fintech) 公司及英国和欧洲的交易与合规公司的攻击。

根据 Proofpoint 的数据，截至 2022年 3 月，EvilNum 已经开始针对关注国际移民支持的政府间组织，显示该组织的选择可能与俄罗斯-
乌克兰冲突相吻合。近期 EvilNum 进化，采用多种版本结合 ISO、Microsoft Word 和快捷方式文件以测试恶意软件的传输机制。

加密货币的投资计算

针对加密货币及其他货币和大宗商品交易的金融公司是一项精心计算的选择，尽管这种犯罪活动可能带来潜在的风险。全球威胁情报公司 Cybersixgill的安全研究主管 Dov Lerner指出，虽然暗网中的支付通常以加密货币进行，实际价格通常以美元列出。他补充说：“加密货币一直非常波动，因此地下市场的商品和服务价格以美元为基准，能够抵御加密货币价格的波动。”

“我们看到很多迹象表明普通的暗网行为者在加密货币中存储了大量资金后损失惨重，”Lerner表示。“但我们认为大型犯罪团伙在财务上更加聪明，会将资金分散投资以避免对加密货币价格下跌的风险。”

扩大网络犯罪的影响

这些日益机会主义的攻击，很可能是网络犯罪更大拼图的一部分，团伙通过恶意软件和后门获得的接入权限和信息用于进行更广泛的犯罪活动。

DeGrippo指出：“威胁行为者通常会使用所有必要手段确保获得他们追求的财务收益。这可能意味着利用金钱驮运者，通过被盗银行账户洗钱，或以其他方式进行欺诈。”

举个例子，赠品卡诈骗在缺乏高水平技术及轻松获取大规模恶意软件活动的威胁行为者和犯罪团伙中日益受欢迎。根据 AARP 的数据，最近