Hacker versuchen vermehrt, auch bei Fintechs an Informationen zu kommen. Am Beispiel der APT-Gruppe Evilnum hat Eset-Malware-Analyst Matías Porolli nachvollzogen, wie die Angreifer dabei vorgehen.

Porolli beschreibt das Vorgehen in einer ausführlichen Analyse auf der Webseite WeliveSecurity.com, die vom slowakischen Sicherheitssoftware-Unternehmen Eset betrieben wird.

Evilnum sei relativ unbekannt, aber mindestens seit 2018 aktiv und fokussiere sich mit seiner Malware auf Fintech-Unternehmen. Dabei kämen sowohl selbstentwickelte als auch zugekaufte Tools etwa von Golden Chickens, einem Anbieter von Malware-as-a-Service (MaaS), zum Einsatz.

Finanzinformationen und Kundendaten als Ziel

Attackiert werden demnach beispielweise Plattformen für den Aktienhandel, meist in der EU oder Großbritannien, aber auch in Kanada und Australien. Den Hackern gehe es darum, Finanzinformationen über das jeweilige Unternehmen und seine Kunden zu erlangen.

So seien bisher schon Dokumente mit Kundendaten, Kreditkarteninformationen, Adressnachweisen sowie Ausweisdokumente und E-Mail-Zugangsdaten gestohlen worden.

E-Mails mit Anhängen als Einfallstor

Die Angriffe erfolgten mittels sogenannter Spearfishing-E-Mails, die von einer vertrauenswürdigen Quelle zu stammen scheinen und damit die Aufmerksamkeit der Opfer bekommen. Im Fall von Evilnum führt ein Link zu einer bei Google Drive gehosteten ZIP-Datei.

Bei den gezippten Dateien handele es sich um Verknüpfungen mit sogenannten doppelten Erweiterungen. So könne zum Beispiel eine JPG-Datei den Nutzer zum Öffnen verleiten, da er sie für ein harmloses Bild hält. Dahinter verberge sich jedoch ein Shortcut, der nicht sichtbar sei, da Windows Dateierweiterungen für bekannte Typen standardmäßig ausblendet.

Hackergruppe geht spezifisch und manuell vor

Sobald eine dieser Dateien angeklickt wurde, beginnt der Angriff mittels Java Script. Die Hacker-Gruppe gehe dabei jedoch manuell vor und installiere nach dem Einbruch weitere Skripte und Tools. Die Malware greife unter anderem auf Passwörter und Cookies im Browser Chrome zu und sende sie an C&C-Server. Bei Chrome seien diese Informationen besonders einfach zu erlangen.

Es gebe auch Befehle zum Erstellen von Screenshots, die ebenfalls an die Hacker gesendet würden. Und die Hacker könnten per TeamViewer eine getarnte Verbindung zu einem gefährdeten Computer aufbauen und ihn über die graphische Benutzeroberfläche fernsteuern.

Unter anderem wegen des Einsatzes legitimer Tools seien die Hacker bisher weitgehend unentdeckt geblieben. Die wenigen Ziele seien zudem spezifisch ausgewählt.