• Le malware EvilNum est une porte dérobée, ou « Backdoor » qui peut être utilisée pour le vol de données ou pour installer des charges utiles supplémentaires.
• Il comprend plusieurs composants intéressants pour échapper à la détection et modifier les chemins d’infection en fonction des logiciels antivirus identifiés.
• Depuis la fin de l’année 2021 jusqu’à aujourd’hui, Proofpoint a observé que le groupe TA4563 ciblait diverses entités financières et d’investissement européens, avec des campagnes récentes ciblant exclusivement l’industrie du DeFi.
• Les campagnes ont livré une version mise à jour de la porte dérobée EvilNum en utilisant une variété de fichiers ISO, Microsoft World et Shortcut (.LNK) par e-mail.

« Les organisations financières, en particulier celles qui opèrent en Europe et qui ont des intérêts dans les cryptomonnaies, doivent être conscientes de l’activité de TA4563. Le logiciel malveillant du groupe, connu sous le nom d’EvilNum, est en cours de développement actif, et Proofpoint continue de constater une forte activité qui risque de se prolonger tout au long de l’été » a déclaré Sherrod DeGrippo, vice-présidente de la recherche sur les menaces chez Proofpoint.