この最新のトロイの木馬マルウェア キャンペーンは、フィンテックと仮想通貨取引会社をターゲットにしています

  • Oct 31, 2023

サイバー攻撃は、キーロギング、スクリーンショット撮影、パスワード窃取を行う Cardinal RAT マルウェアの導入を試みます。

トロイの木馬マルウェア キャンペーンは、資格情報、パスワード、その他の機密情報を収集するために、金融テクノロジーおよび仮想通貨取引会社を侵害しようとしています。

安全

  • 安全性の高いリモート ワーカーの 8 つの習慣
  • 携帯電話からスパイウェアを見つけて削除する方法
  • 最高の VPN サービス: トップ 5 をどう比較しますか?
  • データ侵害に関与しているかどうかを確認する方法 - 次に何をすべきか

Cardinal RAT の更新バージョンを利用したサイバー攻撃 マルウェア 発見されており、 ユニット42による詳細、セキュリティ企業パロアルトネットワークスの研究部門。

Cardinal RAT は 2 年間にわたって注目を集めませんでした 2017年に発覚するまで – しかし、その蓋が暴かれたとしても、サイバー犯罪者が Windows システムを使用して価値の高い標的のネットワークに密かに侵入するためにマルウェアを展開することを阻止することはできませんでした。

以前のバージョンの Cardinal が使用されていた フィッシングメールと悪意のある文書の誘惑 ターゲットを侵害するためであり、この最新の亜種も同様の戦術を使用しているようです。

ペイロード内の情報により、マルウェアのバージョンは 1.7.2 であることがわかります。2017 年に出現したバージョンはバージョン 1.4 であり、悪意のある作成者がそれ以来、アップデートの提供に忙しくしていることを示唆しています。

これには、基礎となるコードを隠すための新しい難読化技術の導入が含まれており、この最初の層はデプロイメントから得られます。 ステガノグラフィー 最初に .NET でコンパイルされ、.BMP 画像ファイルに埋め込まれたサンプルを非表示にします。

難読化に加えて、マルウェア自体の構成方法にいくつかの小さな調整が加えられています。 しかし、Cardinal の中心的な目的は変わりません。ターゲット PC に侵入し、悪意のある行為を実行することです。 活動。

このマルウェアは、ユーザー名とパスワードを収集し、スクリーンショットをキャプチャし、キーロギングを実行できます。これらすべてが可能になります。 攻撃者は機密情報へのアクセスに役立つ情報を入手することができます。 アカウント。

Cardinal は、新しいファイルをダウンロードして実行したり、自身を更新したり、マシンの設定を更新したりすることもできます。 また、行為が完了したときに活動を隠蔽し続けるために、自身をアンインストールし、ブラウザから Cookie をクリアすることもできます。

見る: サイバーセキュリティの勝利戦略 (ZDNet特別レポート) | レポートを PDF としてダウンロードする (テックリパブリック)

このキャンペーンは、特にイスラエルのフィンテック組織、特に外国為替および仮想通貨取引に関連するソフトウェアを作成する組織に焦点を当てているようです。

現時点では攻撃が成功したことを示す証拠はありませんが、おそらくサイバー攻撃が成功した可能性があります。 犯罪者は、金融テクノロジー企業を、ネットワークに侵入して利益を得ることができれば、儲かるターゲットと見なしています。 報酬。 したがって、攻撃者は攻撃を継続する可能性があります。

「最も単純に言えば、攻撃者が時間と投資に対して最大の利益を得ることができると考えた場所です。 資金資源です」とパロアルトネットワークスのユニット 42 脅威インテリジェンスの副ディレクター、ジェン・ミラー・オズボーン氏は語った。 ZDNet。

「これは、攻撃側の思慮深さと洗練の別の側面を示しています。 幅広いスタイルの攻撃を行うのではなく、非常に集中して攻撃を行っています。 これにより、発見の可能性が低くなります」と彼女は付け加えた。

攻撃者の正確な詳細は不明のままですが、Cardinal RAT を調査している研究者は、ある攻撃者の特徴に気づきました。 マルウェアのターゲットの一部は、として知られる別の形式のマルウェアを使用する攻撃者によってもターゲットにされていました。 イビルナム。

Evilnum が Cardinal のローダーとして使用されており、他の悪意のあるツールである可能性もあり、同じ攻撃グループによって開発されている可能性があります。 ただし、研究者らは、これは、2 つの異なる攻撃グループが同じフィンテック組織を侵害しようとしており、どちらも儲かる標的とみなしているケースである可能性もあると指摘しています。

この 2 つの形式のマルウェアは依然として活動中ですが、いくつかの基本的な手順を実行すれば、組織が被害に遭うことを防ぐことができます。

「悪意のある添付ファイルやサイトをブロックできる最新のセキュリティを実行し、以下の添付ファイルのみを開くようユーザーに奨励します。 信頼できる当事者から信頼し、セキュリティ更新プログラムを常に最新の状態に保つことはすべて、保護に役立ちます」とミラー・オズボーン氏は述べています。

Unit 42 は、Cardinal RAT と Evilnum の侵害の兆候を詳しく説明しました マルウェアの分析では.

サイバー犯罪について詳しく読む

  • トロイの木馬マルウェア: PC に対する隠れたサイバー脅威
  • ビットコインのような暗号通貨は犯罪者にとって簡単な資金となる CNET
  • フィッシング攻撃: 過去 2 年間で組織の半数が被害に遭った
  • トロイの木馬マルウェアが復活、ビジネスにとって最大のハッキング脅威となる TechRepublic
  • サイバースパイ警告: 最先端のハッキンググループがより野心的になっている