Отчет: вредоносные программы нацелены на израильские фирмы работающие в сфере Fintech и Forex

Согласно сообщениям в блоге из 42-го отдела исследований угроз подразделения кибербезопасности Palo Alto Networks, опубликованному 19 марта, израильские финтех-компании, работающие с форекс и крипто-трейдингом, становятся мишенью для вредоносных программ.

Согласно отчету, подразделение 42 впервые столкнулось со старой версией рассматриваемого вредоносного ПО, Cardinal RAT, в 2017 году. С апреля 2017 года Cardinal RAT идентифицируется при изучении атак на две израильские финтех-компании, занимающиеся разработкой программного обеспечения для торговли на форекс и криптовалютах. , Программное обеспечение представляет собой троянец удаленного доступа (RAT), который позволяет злоумышленнику удаленно получить контроль над системой.

Обновления, применяемые к вредоносным программам, направлены на то, чтобы избежать обнаружения и затруднить его анализ. После объяснения методов запутывания, используемых вредоносными программами, исследователи объясняют, что сама полезная нагрузка не отличается значительно по сравнению с оригиналом с точки зрения способа действия или возможностей.

Программное обеспечение собирает данные о жертвах, обновляет свои настройки, действует как обратный прокси-сервер, выполняет команды и удаляет себя. Затем он восстанавливает пароли, загружает и выполняет файлы, регистрирует нажатия клавиш, делает снимки экрана, обновляет себя и удаляет файлы cookie из браузеров. Подразделение 42 отмечает, что было засвидетельствовано нападение с использованием этого вредоносного ПО на финтех-фирмы, которые занимаются форекс и криптовалютой, в основном, в Израиле.

Далее в отчете утверждается, что группа исследователей угроз обнаружила возможную корреляцию между Cardinal RAT и вредоносной программой на основе JavaScript, получившей название EVILNUM, которая используется для атак на подобные организации. При просмотре файлов, представленных одним и тем же клиентом в те же сроки, что и в образцах Cardinal RAT, блок 42, как сообщается, также выявил экземпляры EVILNUM.

В сообщении далее отмечается, что и эта вредоносная программа, похоже, используется только для атак на финтех-организации. Исследуя данные, компания утверждает, что обнаружила еще один случай, когда организация подала и EVILNUM, и Cardinal RAT в один и тот же день, что особенно примечательно, поскольку оба этих семейства вредоносных программ встречаются редко.

Сообщается, что EVILNUM способен настроить систему на постоянство, запускать произвольные команды, загружать дополнительные файлы и делать снимки экрана.

Как недавно сообщал Cointelegraph, расширение браузера Google Chrome обманом заставило пользователей принять участие в фиктивном взлете от обмена криптовалюты. Уоби потребовал более 200 жертв.

Кроме того, на прошлой неделе в отчете отмечалось, что киберпреступники, как сообщается, отдают предпочтение неторопливым подходам к атакам, направленным на получение финансовой выгоды, а крипто-взлом является ярким примером этого изменения.

Spread the love
12345 (Пока оценок нет)
Загрузка...

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *