恶意软件盯上了加密货币,两家以色列公司受到攻击
近日,網(wǎng)絡(luò)安全公司Palo Alto Networks威脅研究部門Unit 42發(fā)博稱,已確認(rèn)Cardinal RAT自2017年4月起對兩家從事外匯和加密交易軟件開發(fā)的以色列金融科技公司發(fā)起過攻擊。
Cardinal RAT是可遠(yuǎn)程訪問特洛伊木馬(RAT),攻擊者可遠(yuǎn)程控制系統(tǒng),2017年P(guān)alo Alto Networks首次發(fā)現(xiàn)了Cardinal RAT,但在這兩年中,并沒有發(fā)現(xiàn)其有攻擊行為。
Cardinal RAT使用了一種新的技術(shù)來感染計(jì)算機(jī),使用一個(gè)名為Carp的下載程序和Microsoft Excel文檔中的惡意宏將源代碼編譯成可執(zhí)行文件,然后部署惡意軟件。此外,Cardinal RAT可能還與基于JavaScript的惡意軟件(稱為EVILNUM)存在關(guān)聯(lián)。
最新發(fā)現(xiàn)的Cardinal RAT版本進(jìn)行了一系列的更新,同時(shí)應(yīng)用很多新技術(shù),例如速記式加密。速記式加密是一種對數(shù)據(jù)加密的算法,其最大的優(yōu)點(diǎn)在于,當(dāng)把深度信息隱藏到基本視頻以后,并沒有給視頻帶來任何明顯的變化,而且視頻的數(shù)據(jù)量的大小也不會(huì)被改變。
Cardinal RAT惡意軟件使用嵌入到Bitmap(BMP)映像文件中的數(shù)據(jù),該文件在安裝期間加載到受害者的計(jì)算機(jī)上。表面看似是一個(gè)無害的圖標(biāo),但是一旦打開之后,嵌入的惡意代碼就會(huì)被解碼執(zhí)行,啟動(dòng)攻擊,竊取用戶名、密碼等敏感數(shù)據(jù),甚至是電腦截屏,然后將數(shù)據(jù)傳回給惡意軟件運(yùn)營商,以達(dá)到竊取加密貨幣的目的。
例外,Unit 42還表示Cardinal RAT存在以下行為:
- 收集信息
- 更新設(shè)置
- 充當(dāng)反向代理
- 執(zhí)行命令
- 自行卸載
- 恢復(fù)密碼
- 下載并執(zhí)行新文件
- 鍵盤記錄
- 捕獲屏幕截圖
- Cardinal RAT自動(dòng)更新
- 清除瀏覽器中的cookie
以色列是Cardinal RAT攻擊的重點(diǎn)對象,不僅這次Unit 42發(fā)現(xiàn)的兩家被攻擊的金融科技公司都來自以色列,另外查看提交給Virustotal的文件,有13個(gè)Carp下載程序文檔,通過上圖,我們可以看到有9個(gè)文檔的第一提交者是來自以色列。
對比Cardinal RAT的文檔提交情況,EVILNUM的地理分布情況就比較平均。
由于惡意軟件是通過附加到垃圾郵件的誘餌文件進(jìn)入電腦中,并發(fā)送給潛在的加密貨幣交易者。因此,Unit 42給出了這樣的建議:要具備有效的垃圾郵件過濾、適當(dāng)?shù)南到y(tǒng)管理和最新Windows主機(jī)。除此之外,下面這三天防御措施也要提上日程:
- 不允許lnk文件作為附件的入站電子郵件,不允許包含單個(gè)lnk文件的附加zip文件作為附件的入站電子郵件;
- 不允許來自文檔包含宏的外部源的入站電子郵件,除非配置了正確的策略;
- 強(qiáng)制父子進(jìn)程策略以限制惡意軟件使用腳本語言。
總結(jié)
以上是生活随笔為你收集整理的恶意软件盯上了加密货币,两家以色列公司受到攻击的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Exchange Server外网映射规
- 下一篇: 有关闭包的问题