Финтех-индустрия продолжает сталкиваться с киберугрозами. Согласно сообщению компании по кибербезопасности Palo Alto Networks, ее подразделение Unit 42 зарегистрировало вредоносные атаки с использованием старой версии мелкосерийного семейства вредоносного ПО Cardinal RAT, известного с 2017года, против израильских финтех-компаний, занимающихся разработкой программного обеспечения для криптовалютного трейдинга и торговли на форексе.

RAT – это троян удаленного доступа, позволяющий контролировать систему на расстоянии.

Он работает как прокси-сервер, т.е. как посредник между устройством пользователя и серверами интернет-ресурсов и выполняет следующие функции: собирает информацию о своих жертвах, обновляется, обрабатывает команды и самоуничтожается, а также восстанавливает пароли, скачивает и генерирует новые файлы, регистрирует ключи, выполняет скриншоты, удаляет куки из браузеров.

Cardinal RAT доставляется на устройство пользователя с помощью уникальной технологии, использующей вредоносные макросы Excel. Исследователи Unit 42 называют эти документы доставки Carp Downloader, использующие особую технику компиляции и выполнения встроенного исходного кода языка C # (CshARP) и действующие как простой загрузчик.

При исследовании атак Cardinal RAT было обнаружено возможную связь между ним и другим семейством вредоносных программ под названием EVILNUM, которое создано на основе JavaScript и также атакует финтех-компании, расположенные преимущественно в Израиле. EVILNUM запускается вместе с системой, обрабатывает команды, загружает дополнительные файлы и делает скриншоты.

Специалисты по кибербезопасности напоминают, что организации с эффективной фильтрацией нежелательной почты, надлежащим системным администрированием и современными хостами Windows имеют гораздо меньший риск заражения вредоносными ПО.

Leave a comment