Il gruppo Hack-for-Hire prende di mira i viaggi e le entità finanziarie con la nuova variante del malware Janicab

Le agenzie di viaggio in Medio Oriente e in Europa sono prese di mira da un gruppo di hacker chiamato Evilnum come parte di una campagna più ampia.

Secondo un rapporto tecnico pubblicato questa settimana, gli attacchi agli studi legali nel 2020 e nel 2021 hanno coinvolto una nuova variante del worm Janicab che utilizzava risolutori dead drop come YouTube.

Ci sono molte vittime di infezioni da Janicab in Egitto, Georgia, Arabia Saudita e Regno Unito.

Questa è la prima volta che le organizzazioni legali in Arabia Saudita vengono prese di mira.

L’attore della minaccia è noto per implementare backdoor come Janicab, Evilnum, Powersing e PowerPepper per rubare informazioni riservate.

La società russa crede che DeathStalker sia un gruppo di mercenari che offrono servizi di hacking a pagamento o che agiscono come una sorta di broker di informazioni negli ambienti finanziari.

Secondo ESET, la squadra di hacker ha uno schema di raccolta di presentazioni aziendali interne, licenze software, credenziali e-mail e documenti contenenti elenchi di clienti, investimenti e operazioni commerciali.

L’analisi delle intrusioni di DeathStalker ha mostrato l’uso di un contagocce basato su LNK incorporato in un archivio ZIP per l’accesso iniziale.

I ricercatori hanno affermato che poiché l’autore della minaccia utilizza vecchi collegamenti YouTube non elencati, la probabilità di trovare collegamenti pertinenti è quasi pari a zero.

I ricercatori teorizzano che i clienti e gli operatori di DeathStalker potrebbero utilizzare come arma le intrusioni per tenere d’occhio cause legali, ricattare individui di alto profilo, tenere traccia delle attività finanziarie e raccogliere informazioni commerciali su potenziali fusioni e acquisizioni.