Aviso da Intel sobre a ameaça do Trojan de acesso remoto PyVil

Consultoria de inteligência de ameaças do CloudSEK sobre PyVil RAT, parte do arsenal da Evilnum, capaz de exfiltrar dados, fazer capturas de tela e registrar teclas.

Updated on

April 17, 2026

Published on

October 23, 2020

Read MINUTES

Subscribe to the latest industry news, threats and resources.

Table of Contents

This is also a heading
This is a heading

Tipo

RATO

Setor

FinTechO Trojan de acesso remoto (RAT) Python-script, apelidado de PyVil, é usado pelo Evilnum APT para coletar informações corporativas confidenciais. Em setembro de 2020, os agentes de ameaças utilizaram o PyVil junto com várias outras ferramentas, como More_eggs, TerraPreter, TerraStealer e TerraTV para atingir empresas FinTech no Reino Unido e na União Europeia.Esse RAT se propaga por meio de arquivos LNK maliciosos que se disfarçam de documentos PDF legítimos distribuídos por meio de golpes de phishing. Eles enviam e-mails enganosos disfarçados de documentos de identificação associados ao banco da vítima, incluindo contas, extratos de cartão de crédito etc. O RAT é compilado com py2exe, que converte scripts python em executáveis do Microsoft Windows. Isso permite que ele baixe novos módulos para expandir sua funcionalidade. O RAT é configurado de forma que possa conter instruções para o navegador ao se comunicar com o servidor de Comando e Controle (C2). As comunicações C2 são feitas por meio de solicitações HTTP POST e são criptografadas em RC4 usando uma chave codificada, codificada com Base64 (converte os dados binários em formato de texto). Os principais recursos do PyVil são:

Registro de chaves
Fazendo capturas de tela
Coleta de informações de sistemas infectados

O código Python dentro do py2exe é complicado com camadas extras de criptografia para evitar a descompilação da carga usando as ferramentas existentes.[/vc_wp_text] [vc_wp_text]

Impacto

O vazamento de informações de PII pode levar ao roubo de identidade.
Documentos/bate-papos confidenciais vazados para o público podem custar a reputação de um indivíduo ou organização.
Depois que o dispositivo é infectado, ele pode ser usado como um bot para realizar ataques de DDoS, levando à inacessibilidade dos serviços.
O malware dá aos operadores acesso aos detalhes da vítima, que são usados para enganar ainda mais as vítimas ou realizar ataques de engenharia social contra elas.

[/vc_wp_text] [vc_wp_text]

Mitigações

Não abra e-mails suspeitos ou não solicitados, especialmente aqueles recebidos de remetentes desconhecidos/suspeitos.
Bloqueie a instalação de programas de fontes desconhecidas.
Baixe somente de fontes relevantes e confiáveis.
Faça backup de seus dados em intervalos regulares.
Use um scanner confiável para detectar malware.
Desative o Windows PowerShell, que é uma estrutura de automação de tarefas.

[/vc_wp_text] [vc_wp_text]

Indicadores de compromisso

Domínios

voipasst [.] com
voipreq12 [.] com
telecomal [.] com
domínio crm [.] net
gestão de leads [.] net
fxmt4x [.] com
xlmfx [.] com
telefx [.] net
voipssupport [.] com
trquotesys [.] com
extrasectr [.] com
veritechx [.] com
quotingtrx [.] com
vvxtech [.] net
corpxtech [.] com

Endereços IP

193 [.] 56 [.] 28 [.] 201
185 [.] 236 [.] 230 [.] 25
[5] 206 [.] 227 [.] 81
176 [.] 107 [.] 188 [.] 175

LINK

db5d09edc2e9676a41f26f5f4310df9d13abdae8011b1d37af7139008362d5f1
3b7cd07e87902deae4b482e987dea9e25a93a55ec783884e8b466dc55c346bce
c7cf5c62ecfade27338acb2cc91a06c2615dbb97711f2558a9379ee8a5306720
f5f79e2169db3bbe7b7ae3ff4a0f40659d11051e69ee784f5469659a708e829e
cff5ed4de201256678c7c068c1dbda5c47f4b322b618981693b1fd07a0ea7e68
83c375dcdadb8467955f5e124cf4e8d6eac78c51c03fb7393dc810a243ba1a90

PDF descartado

048388c04738763c0ec57124e3a88fc82a545639636fb5ed6cd397881dd6ced9
11d9a87b144c0eaf71e8dea1b08117d464ed7f24a6e716e935e0c7f3a7e03edc
0b95c8c70d2dad47baef15d0299cd7e273e8a59ae0420921632b21789a80aef0

Executável pyVil py2.exe

f388a2ebbb6a7e577e8aa6205e87d5b2975e7c08464123cc36e8e3d437e9a523
130e0536cdb4e9f7cfb273dbabc9ee196a51d1217cd4b981847af6314f46b052
d6343a07357e5443d6a59f10e16a06796c46bec3cbe5968ac04b0f082d6fcecf

Primeira camada de ofuscação do PyVil

568ec03a27740f8babc3513948a44ce1a2944d05f3d454ce345e67a0634a4a73

Segunda camada de ofuscação do PyVil

63a4b6ef72e0a3a0886364a5ebcc0009c6da8c27d93cf9d6c8107b6f025fed34

Bibliotecas PyVil python

1aa9ecb83acbebc64b23f7192e763cf4bd278f10df2223512087b87230e411b4
9dfb040dab1fd05fbccf69ff3461295815edc463a61a6304af18a72f82bce534
8dfb2f5c74f38ffb39bfc17bf6a62d5822c458215619c1b2ec2eb345f21d1265
3f3738e4606ea85a382319269405ee72a928a8a761273914c52342b116cbddfc
a787ecc380021b3b7115c97242ba06706a0a1e41efe1b734552d74384bae22ec
062ed9f40ca330f0fed63cbdd401521deb23f93b5527038fc88f70ed9acadf39

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

Table of Contents

This is also a heading
This is a heading

Recent Articles

Anonymous Sudan alega a remoção bem-sucedida do primeiro site e aplicativo do banco de Abu Dhabi por meio de ataques de DDoS

May 29, 2023

Expondo o uso indevido de e-mail da Qwiklabs em fraudes de pagamento sorrateiras envolvendo a configuração de contas comerciais da UPI

January 17, 2024

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.

Agende uma demonstração

Real time Threat Intelligence Data

More information and context about Underground Chatter

On-Demand Research Services

Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.

Trusted by 400+ Top organisations

Get started

Learn more