近日，網(wǎng)絡(luò)安全公司Palo Alto Networks威脅研究部門Unit 42發(fā)博稱，已確認(rèn)Cardinal RAT自2017年4月起對兩家從事外匯和加密交易軟件開發(fā)的以色列金融科技公司發(fā)起過攻擊。

Cardinal RAT是可遠(yuǎn)程訪問特洛伊木馬（RAT），攻擊者可遠(yuǎn)程控制系統(tǒng)，2017年P(guān)alo Alto Networks首次發(fā)現(xiàn)了Cardinal RAT，但在這兩年中，并沒有發(fā)現(xiàn)其有攻擊行為。

Cardinal RAT使用了一種新的技術(shù)來感染計(jì)算機(jī)，使用一個(gè)名為Carp的下載程序和Microsoft Excel文檔中的惡意宏將源代碼編譯成可執(zhí)行文件，然后部署惡意軟件。此外，Cardinal RAT可能還與基于JavaScript的惡意軟件（稱為EVILNUM）存在關(guān)聯(lián)。

最新發(fā)現(xiàn)的Cardinal RAT版本進(jìn)行了一系列的更新，同時(shí)應(yīng)用很多新技術(shù)，例如速記式加密。速記式加密是一種對數(shù)據(jù)加密的算法，其最大的優(yōu)點(diǎn)在于，當(dāng)把深度信息隱藏到基本視頻以后，并沒有給視頻帶來任何明顯的變化，而且視頻的數(shù)據(jù)量的大小也不會(huì)被改變。

Cardinal RAT惡意軟件使用嵌入到Bitmap（BMP）映像文件中的數(shù)據(jù)，該文件在安裝期間加載到受害者的計(jì)算機(jī)上。表面看似是一個(gè)無害的圖標(biāo)，但是一旦打開之后，嵌入的惡意代碼就會(huì)被解碼執(zhí)行，啟動(dòng)攻擊，竊取用戶名、密碼等敏感數(shù)據(jù)，甚至是電腦截屏，然后將數(shù)據(jù)傳回給惡意軟件運(yùn)營商，以達(dá)到竊取加密貨幣的目的。

例外，Unit 42還表示Cardinal RAT存在以下行為：

• 收集信息
• 更新設(shè)置
• 充當(dāng)反向代理
• 執(zhí)行命令
• 自行卸載
• 恢復(fù)密碼
• 下載并執(zhí)行新文件
• 鍵盤記錄
• 捕獲屏幕截圖
• Cardinal RAT自動(dòng)更新
• 清除瀏覽器中的cookie

以色列是Cardinal RAT攻擊的重點(diǎn)對象，不僅這次Unit 42發(fā)現(xiàn)的兩家被攻擊的金融科技公司都來自以色列，另外查看提交給Virustotal的文件，有13個(gè)Carp下載程序文檔，通過上圖，我們可以看到有9個(gè)文檔的第一提交者是來自以色列。

對比Cardinal RAT的文檔提交情況，EVILNUM的地理分布情況就比較平均。

由于惡意軟件是通過附加到垃圾郵件的誘餌文件進(jìn)入電腦中，并發(fā)送給潛在的加密貨幣交易者。因此，Unit 42給出了這樣的建議：要具備有效的垃圾郵件過濾、適當(dāng)?shù)南到y(tǒng)管理和最新Windows主機(jī)。除此之外，下面這三天防御措施也要提上日程：

• 不允許lnk文件作為附件的入站電子郵件，不允許包含單個(gè)lnk文件的附加zip文件作為附件的入站電子郵件；
• 不允許來自文檔包含宏的外部源的入站電子郵件，除非配置了正確的策略；
• 強(qiáng)制父子進(jìn)程策略以限制惡意軟件使用腳本語言。

總結(jié)

以上是生活随笔為你收集整理的恶意软件盯上了加密货币，两家以色列公司受到攻击的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。