特洛伊木马恶意软件活动试图破坏金融技术和加密货币交易公司,以收集凭证,密码和其他机密信息。
安全
'100个独特的漏洞和计数'用于最新的WinRAR安全漏洞
网络安全:不要让小东西给你带来大问题
为什么安全性是企业云采用的首要障碍[混合云电视]
红队帮助保护开源软件
安全公司Palo Alto Networks的研究部门42号机构已经发现并详细介绍了利用Cardinal RAT恶意软件更新版本的网络攻击。
红衣主教RAT在2017年被揭露之前仍然处于雷达状态两年之后- 但是这种掩护并没有阻止网络犯罪分子部署恶意软件,以便使用Windows系统秘密地渗透高价值目标网络。
以前的Cardinal版本使用网络钓鱼电子邮件和恶意文件诱骗来破坏目标,这个最新版本似乎使用了类似的策略。
有效负载内的信息标识恶意软件的版本为1.7.2 - 2017版本为版本1.4,表明其恶意作者一直忙于提供更新。
这包括引入新的混淆技术来隐藏底层代码,第一层来自部署隐写术以隐藏最初在.NET中编译并嵌入.BMP图像文件中的样本。
除了混淆之外,恶意软件本身已经对它的配置进行了一些小的调整:但Cardinal的核心目标仍然是相同的 - 渗透目标PC并进行恶意活动。
恶意软件可以收集用户名和密码,捕获屏幕截图并执行键盘记录 - 所有这些都使攻击者能够获得可以帮助他们访问敏感帐户的信息。
Cardinal还可以下载和执行新文件,更新自身并更新机器的设置。它还可以卸载自己并清除浏览器中的cookie,以便在完成契约时隐藏它的活动。
SEE:网络安全的成功策略(ZDNet特别报道)|以PDF格式下载报告(TechRepublic)
此活动似乎专注于以色列的金融科技组织,特别是那些编写与外汇和加密货币交易相关的软件的组织。
目前没有证据表明这些攻击是成功的,但网络犯罪分子很可能认为金融科技公司是一个利润丰厚的目标 - 如果他们能够进入网络并获得回报。所以攻击者可能会继续努力。
帕洛阿尔托网络公司42号机组威胁情报副主任Jen Miller Osborn告诉ZDNet,“最简单的是,攻击者认为他们可以获得最大的时间和金钱资源回报。”
“这表明了攻击者的体贴和复杂的另一个方面。他们不是进行广泛的攻击,而是非常专注于攻击。这反过来使发现的可能性降低,”她补充说。
虽然攻击者的确切细节仍然未知,但研究人员检查Cardinal RAT时发现其中一个恶意软件的攻击目标也是攻击者使用另一种形式的恶意软件Evilnum攻击的目标。
Evilnum可能被用作Cardinal的加载器 - 以及潜在的其他恶意工具 - 因此由同一个攻击组开发。然而,研究人员还指出,它也可能是两个不同的攻击组织试图破坏同样的金融科技组织,他们都认为这是一个有利可图的目标。
这两种形式的恶意软件仍然活跃,但一些基本程序应该阻止组织成为受害者。
“运行最新的安全措施,可以阻止恶意附件和网站,鼓励用户只打开他们信任的各方所信任的附件,并保持最新的安全更新,这些都有助于保护,”Miller Osborn说。