根據網絡安全公司Palo Alto Networks 第42部門威脅研究部門於3月19日發布的博客文章,以色列有助於外彙和加密交易的金融科技公司成為惡意軟件的目標。
根據該報告,第42單元在2017年首次遇到舊版本的惡意軟件,Cardinal RAT。自2017年4月起,Cardinal RAT在審查針對兩家以色列的金融科技公司的攻擊時已經確定,這兩家公司從事開發外彙和加密交易軟件。該軟件是遠程訪問特洛伊木馬(RAT),允許攻擊者遠程控制系統。
應用於惡意軟件的更新旨在逃避檢測並阻礙其分析。在解釋了惡意軟件所採用的混淆技術之後,研究人員解釋說,有效載荷本身在作案手法或能力方面與原作不同。
該軟件收集受害者數據,更新其設置,充當反向代理,執行命令並卸載自身。然後它恢復密碼,下載和執行文件,記錄按鍵,捕獲屏幕截圖,更新自己並清除瀏覽器中的cookie。第42單元指出,它目睹了針對涉及外彙和加密交易的金融科技公司的惡意軟件的攻擊,這些公司主要位於以色列。
該報告進一步聲稱,威脅研究團隊發現了Cardinal RAT與基於JavaScript的惡意軟件(稱為EVILNUM)之間可能存在關聯,該惡意軟件用於攻擊類似組織。當查看同一客戶在與紅衣主教RAT樣本相似的時間範圍內提交的文件時,據報導,第42單元也確定了EVILNUM實例。
該帖還進一步指出,此惡意軟件似乎也僅用於對金融科技組織的攻擊。在研究數據時,該公司聲稱已發現另一個案例,即一個組織在同一天同時提交了EVILNUM和Cardinal RAT,這一點特別值得注意,因為這兩個惡意軟件系列都很少見。
據報導,EVILNUM能夠設置為在系統上持久化,運行任意命令,下載其他文件和截屏。
正如Cointelegraph最近報導的那樣,Google Chrome瀏覽器擴展程序誘使用戶參與加密貨幣交換 的虛假空投 Huobi聲稱有超過200名受害者。
此外,一份報告上週指出,據報導,網絡犯罪分子傾向於在為獲得經濟利益而進行的攻擊中採取不緊不慢的做法,而 加密劫持則是這種轉變的一個主要例子。
來源 : Cointelegraph.com
Telegram : https://t.me/blockchainsdaily
