# EVILNUM > [!high] Backdoor APT Especializado em Espionagem de Fintechs e Plataformas de Trading > EVILNUM é o backdoor central do grupo APT homônimo, ativo desde 2018 contra fintechs e plataformas de investimento. Seu diferencial é o uso de "living off trusted sites" - serviços legítimos como **GitHub**, **GitLab** e **Reddit** como infraestrutura C2 - tornando a detecção baseada em reputação de domínios ineficaz. Documentos KYC, credenciais de trading e cookies de sessão são os alvos principais. ## Visão Geral EVILNUM (MITRE S0568, alias Marvel) é um backdoor com capacidades completas desenvolvido e utilizado exclusivamente pelo grupo APT [[g0120-evilnum|Evilnum]], ativo desde pelo menos 2018. O grupo é notável por seu foco altamente especializado: empresas do setor financeiro-tecnológico, especialmente plataformas de trading online, exchanges e fintechs localizadas principalmente na União Europeia e Reino Unido. O objetivo principal é espionagem financeira - roubo de documentos internos, listas de clientes, configurações de VPN, credenciais de trading e, de forma alarmante, documentos KYC (Know Your Customer) de clientes das empresas-alvo. A técnica C2 mais característica do EVILNUM é o uso de "living off trusted sites" ([[t1102-003-one-way-communication|T1102.003]]): o malware busca o endereço do servidor C2 em páginas do GitHub, GitLab ou Reddit criadas específicamente para este propósito. Como o tráfego para estas plataformas é considerado legítimo em qualquer ambiente corporativo, o EVILNUM evita efetivamente listas negras de domínios e inspeção de reputação. O endereço do C2 em si raramente usa um domain name - a maioria dos servidores é identificada apenas por endereço IP, hospedados principalmente na Ucrânia (FreeHost) e Países Baixos. O arsenal do grupo [[g0120-evilnum|Evilnum]] vai além do EVILNUM em si: inclui ferramentas compradas do provedor Golden Chickens (Malware-as-a-Service), um serviço compartilhado com [[g0037-fin6|FIN6]] e o Cobalt Group. Os componentes Golden Chickens incluem o loader TerraLoader e payloads como More_eggs (backdoor), TerraPreter (Meterpreter em memória), TerraStealer e TerraTV. Esta sobreposição de fornecedor MaaS explica TTPs similares entre grupos que não estão relacionados operacionalmente. Em 2022, o grupo expandiu seus alvos para além de fintechs, comprometendo uma organização intergovernamental relacionada a migração internacional - coincidindo com o início do conflito Rússia-Ucrânia. Esta mudança de alvo sugere que o grupo pode ter mandatos de inteligência além do crime financeiro puro, ou estar disponível como serviço para outros clientes. | Campo | Detalhe | |-------|---------| | **Tipo** | Backdoor / espionagem APT | | **Linguagem** | JavaScript (1ª fase) + C# (componente principal) + Python (PyVil RAT) | | **Primeira versão** | Maio 2018 (v1.3) | | **Status** | Ativo - campanhas documentadas em 2022 | | **MITRE ID** | S0568 | | **Plataformas** | Windows | | **Alvo principal** | Fintechs, plataformas de trading, exchanges | ## Como Funciona **Entrega via spear-phishing com LNK maliciosos:** Emails de spear-phishing contêm link para arquivo ZIP no Google Drive. O ZIP contém arquivos LNK (atalhos) com dupla extensão disfarçados como documentos ou fotos (ex: `passport.jpg.lnk`). Ao clicar, o LNK executa o componente JavaScript malicioso e abre um documento decoy legítimo (geralmente foto de CPF, cartão de crédito ou comprovante de endereço - coletados em campanhas anteriores). **Componente JavaScript de primeira fase:** O script JS age como backdoor inicial e downloader. Ele obtém o endereço C2 de páginas GitHub/GitLab/Reddit, pode roubar cookies do Chrome, executar comandos e instalar componentes adicionais. Cada variante observada (6 versões desde 2018) mantém a mesma funcionalidade core com mudanças na ofuscação e infraestrutura. **Componente C# (EVILNUM principal):** O backdoor C# (chamado internamente "Marvel") é instalado pelo JavaScript e opera independentemente com seu próprio servidor C2. Pode: tirar screenshots, executar comandos, enviar arquivos para C2, roubar cookies e senhas do Chrome, e remover sua própria persistência sob comando. **Roubo de cookies de sessão:** EVILNUM foca específicamente em cookies de sessão do navegador ([[t1539-steal-web-session-cookie|T1539]]) - permissões de acesso a plataformas de trading sem necessidade de senha. Com os cookies, os operadores podem acessar as plataformas como se fossem o usuário legítimo. **Timestomping anti-forense:** Para dificultar análise forense, o EVILNUM modifica timestamps de arquivos criados ([[t1070-006-timestomp|T1070.006]]), tornando artefatos indistinguíveis de arquivos legítimos por data. **Golden Chickens MaaS como extensão:** Quando o grupo decide expandir capacidades, usa TerraLoader para instalar More_eggs (backdoor), TerraStealer (ladrão de credenciais) ou TerraPreter (Meterpreter em memória) como componentes adicionais. ## Attack Flow ```mermaid graph TB A["Spear-phishing com ZIP no Google Drive<br/>LNK dupla extensão foto ID cartão<br/>T1566.001 Spearphishing"] --> B["Execução via LNK malicioso<br/>JavaScript de primeira fase<br/>T1218.011 / T1218.010 Rundll32"] B --> C["C2 via GitHub GitLab Reddit<br/>Living off trusted sites<br/>T1102.003 One-Way Comm"] C --> D["Backdoor C# Marvel instalado<br/>Run key persistência<br/>T1547.001"] D --> E["Roubo de cookies de sessão<br/>Chrome passwords VPN configs<br/>T1539 / T1555.003"] E --> F["Timestomping anti-forense<br/>Ocultar artefatos por data<br/>T1070.006"] F --> G["Exfiltração de dados KYC<br/>Documentos financeiros clientes<br/>T1041 Exfil over C2"] classDef delivery fill:#e74c3c,color:#fff classDef exec fill:#e67e22,color:#fff classDef c2 fill:#8e44ad,color:#fff classDef persist fill:#3498db,color:#fff classDef collect fill:#27ae60,color:#fff classDef evasion fill:#1abc9c,color:#fff classDef exfil fill:#2c3e50,color:#fff class A delivery class B exec class C c2 class D persist class E collect class F evasion class G exfil ``` ## Timeline ```mermaid timeline title EVILNUM - Campanhas APT Fintech 2018 : Primeiras amostras detectadas : v1.3 C2 calculado dividindo por 666 2019 : FIN6 e Cobalt Group usam Golden Chickens : Sobreposição de fornecedor MaaS 2020 : ESET publica análise completa do grupo : Arsenal Golden Chickens documentado 2020 : PyVil RAT adicionado ao arsenal : Python-based RAT para exfiltração 2021 : Expansão de alvos e infraestrutura : Servidores C2 renovados regularmente 2022 : Alvo intergovernamental sobre migração : Coincide com conflito Rússia-Ucrânia 2022 : Template injection VBA code stomping : Técnicas evasivas atualizadas ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|----------------| | Acesso Inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spear-phishing com ZIP contendo LNK maliciosos | | Execução | [[t1218-011-rundll32\|T1218.011]] | Rundll32 para execução de payloads sem criar processos suspeitos | | Execução | [[t1218-010-regsvr32\|T1218.010]] | Regsvr32 como alternativa ao Rundll32 | | Persistência | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Chave Run no registro para sobreviver a reinicialização | | Evasão | [[t1070-006-timestomp\|T1070.006]] | Modificação de timestamps de arquivos maliciosos | | Evasão | [[t1070-indicator-removal\|T1070]] | Remoção de indicadores de comprometimento | | C2 | [[t1102-003-one-way-communication\|T1102.003]] | C2 via GitHub, GitLab e Reddit como dead drop resolvers | | Coleta | [[t1539-steal-web-session-cookie\|T1539]] | Roubo de cookies Chrome de plataformas de trading | | Coleta | [[t1082-system-information-discovery\|T1082]] | Reconhecimento do sistema comprometido | | Exfiltração | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração de dados via canal C2 | ## Grupos que Usam - [[g0120-evilnum|Evilnum]] - grupo APT especializado em espionagem financeira contra fintechs ## Relevância LATAM/Brasil O grupo [[g0120-evilnum|Evilnum]] foca em fintechs e plataformas de trading, setores com crescimento acelerado no Brasil. O ecossistema de fintechs brasileiro é um dos maiores do mundo (Nubank, XP Inc., Inter, C6 Bank), tornando o país um alvo natural para campanhas financeiras de espionagem. O interesse do grupo em documentos KYC e informações de clientes é particularmente relevante para exchanges de criptomoedas e plataformas de investimento brasileiras, que processam grandes volumes de dados financeiros sensíveis e de identificação pessoal. A técnica de "living off trusted sites" usando GitHub e Reddit é especialmente difícil de detectar em ambientes brasileiros onde estas plataformas são amplamente utilizadas por desenvolvedores e equipes de TI - tornando o bloqueio ou alertas sobre acesso a elas impraticável. Empresas brasileiras do setor financeiro-tecnológico devem monitorar o kit Golden Chickens e TTPs associadas ao Evilnum, especialmente o roubo de cookies de sessão de plataformas de trading e análise de LNK recebidos por email. A expansão documentada do grupo para alvos intergovernamentais em 2022 sugere que representações diplomáticas brasileiras e organizações multilaterais com sede no Brasil também podem estar no escopo. ## Detecção **Fontes de dados recomendadas:** - **Email gateway:** Analisar arquivos LNK em ZIPs recebidos - cadeia de infecção típica do EVILNUM começa com atalhos maliciosos mascarados como documentos financeiros ou fotos de identidade - **Process monitoring:** Monitorar comunicação de saída com GitHub.com, GitLab.com ou Reddit.com por processos não reconhecidos - técnica "living off trusted sites" do EVILNUM - **Browser monitoring:** Alertar sobre roubo de cookies de sessão de navegadores por processos fora do contexto do próprio browser - **Registry:** Detectar chaves Run criadas por processos non-system com payloads em locais incomuns **Regras de detecção:** - Sigma: `proc_creation_win_lnk_execution_evilnum.yml` - execução de arquivos LNK com dupla extensão por processos de email ou browser - YARA: `APT_Evilnum.yar` - strings características do componente JavaScript e C# (ESET IoC repository) - Hunting: verificar conexões HTTP de processos wscript.exe, cscript.exe para api.github.com ou raw.githubusercontent.com com User-Agents não-browser ## Referências - [1](https://attack.mitre.org/software/S0568/) MITRE ATT&CK - S0568 EVILNUM - [2](https://www.welivesecurity.com/2020/07/09/more-evil-deep-look-evilnum-toolset/) ESET WeLiveSecurity - More Evil: A Deep Look at Evilnum and Its Toolset (2020) - [3](https://www.zscaler.com/blogs/security-research/return-evilnum-apt-updated-ttps-and-new-targets) Zscaler ThreatLabz - Return of Evilnum APT Updated TTPs and New Targets (2022) - [4](https://www.bleepingcomputer.com/news/security/evilnum-hackers-use-the-same-malware-supplier-as-fin6-cobalt/) BleepingComputer - Evilnum hackers use same malware supplier as FIN6 Cobalt (2020) - [5](https://www.securityweek.com/evilnum-group-targets-fintech-companies-europe/) SecurityWeek - Evilnum Group Targets Fintech Companies in Europe (2020)