Старые вредоносные программы Cardinal RAT восстанавливаются через серию обновлений

Старые вредоносные программы Cardinal RAT восстанавливаются через серию обновлений

Источник · Перевод автора

Тип семейства вредоносных программ, не замеченных с 2017 года, вновь появился и нацелен на FinTech и криптовалютные компании в Израиле, согласно сообщению от 19 марта в блоге отдела исследований угроз подразделения 42 кибербезопасности.

Предыдущая версия семейства вредоносных программ, получившая название Cardinal RAT, использовала загрузчик Carp, который использует «вредоносные макросы в документах Microsoft Excel для компиляции встроенного исходного кода языка программирования C# (C Sharp) в исполняемый файл, который, в свою очередь, запускается для развертывания Cardinal RAT малвари».

Согласно подразделению 42, новая версия вредоносного ПО Cardinal RAT поставляется с обновлениями и модификациями, которые «уклоняются от обнаружения и мешают анализу». В этой версии Cardinal RAT используются различные методы запутывания, в том числе скрытие вредоносного кода в растровом файле. Как только жертва открывает файл, вредоносная программа дешифруется и начинает заражать компьютер жертвы.

Подразделение 42 подтвердило, что обновленная версия Cardinal RAT заражает компьютер жертвы, собирая информацию о жертве, обновляя настройки, действуя в качестве обратного прокси-сервера, выполняя команду, удаляя себя, восстанавливая пароли, загружая и выполняя новые файлы, ведение журнала ключей, захват снимков экрана и очистку куки из браузеров.

Согласно The Next Web, в дополнение к девяти сообщениям из Израиля о атаках Cardinal RAT, было два в США и один в Японии и Австрии. Чтобы защитить свои личные данные от атак вредоносных программ, Unit 42 предлагает отдельным лицам и компаниям усилить свои фильтры нежелательной почты и родительский контроль, чтобы «ограничить использование языков сценариев вредоносными программами», а не открывать или даже разрешать «входящие электронные письма с файлом LNK в качестве вложений». [или] … электронные письма из внешних источников, где документы содержат макросы.»

Несмотря на то, что вредоносное ПО Cardinal RAT не использовалось в течение двух лет, было проведено немало атак, направленных на личные данные людей и компаний. Буквально в прошлом месяце компания ESET по кибербезопасности объявила об обнаружении вредоносного ПО, созданного для кражи адресов крипто-кошельков и личных ключей, заражающих магазин Google Play.