写点什么

恶意软件盯上了加密货币,两家以色列公司受到攻击

  • 2019-03-21
  • 本文字数:987 字

    阅读完需:约 3 分钟

恶意软件盯上了加密货币,两家以色列公司受到攻击

近日,网络安全公司Palo Alto Networks威胁研究部门Unit 42发博称,已确认 Cardinal RAT 自 2017 年 4 月起对两家从事外汇和加密交易软件开发的以色列金融科技公司发起过攻击。


Cardinal RAT 是可远程访问特洛伊木马(RAT),攻击者可远程控制系统,2017 年 Palo Alto Networks 首次发现了 Cardinal RAT,但在这两年中,并没有发现其有攻击行为。


Cardinal RAT 使用了一种新的技术来感染计算机,使用一个名为 Carp 的下载程序和 Microsoft Excel 文档中的恶意宏将源代码编译成可执行文件,然后部署恶意软件。此外,Cardinal RAT 可能还与基于 JavaScript 的恶意软件(称为 EVILNUM)存在关联。


最新发现的 Cardinal RAT 版本进行了一系列的更新,同时应用很多新技术,例如速记式加密。速记式加密是一种对数据加密的算法,其最大的优点在于,当把深度信息隐藏到基本视频以后,并没有给视频带来任何明显的变化,而且视频的数据量的大小也不会被改变。


Cardinal RAT 恶意软件使用嵌入到 Bitmap(BMP)映像文件中的数据,该文件在安装期间加载到受害者的计算机上。表面看似是一个无害的图标,但是一旦打开之后,嵌入的恶意代码就会被解码执行,启动攻击,窃取用户名、密码等敏感数据,甚至是电脑截屏,然后将数据传回给恶意软件运营商,以达到窃取加密货币的目的。


例外,Unit 42 还表示 Cardinal RAT 存在以下行为:


  • 收集信息

  • 更新设置

  • 充当反向代理

  • 执行命令

  • 自行卸载

  • 恢复密码

  • 下载并执行新文件

  • 键盘记录

  • 捕获屏幕截图

  • Cardinal RAT 自动更新

  • 清除浏览器中的 cookie



以色列是 Cardinal RAT 攻击的重点对象,不仅这次 Unit 42 发现的两家被攻击的金融科技公司都来自以色列,另外查看提交给 Virustotal 的文件,有 13 个 Carp 下载程序文档,通过上图,我们可以看到有 9 个文档的第一提交者是来自以色列。



对比 Cardinal RAT 的文档提交情况,EVILNUM 的地理分布情况就比较平均。


由于恶意软件是通过附加到垃圾邮件的诱饵文件进入电脑中,并发送给潜在的加密货币交易者。因此,Unit 42 给出了这样的建议:要具备有效的垃圾邮件过滤、适当的系统管理和最新 Windows 主机。除此之外,下面这三天防御措施也要提上日程:


  • 不允许 lnk 文件作为附件的入站电子邮件,不允许包含单个 lnk 文件的附加 zip 文件作为附件的入站电子邮件;

  • 不允许来自文档包含宏的外部源的入站电子邮件,除非配置了正确的策略;

  • 强制父子进程策略以限制恶意软件使用脚本语言。


2019-03-21 18:293865
用户头像

发布了 497 篇内容, 共 328.7 次阅读, 收获喜欢 1923 次。

关注

评论

发布
暂无评论
发现更多内容

开源走向世界(下):从数据库技术演进看开源力量丨BDTC 2021

PingCAP

Amazon EC2 串行控制台——化繁为简,高效解决网络问题

亚马逊云科技 (Amazon Web Services)

网络

元宇宙,以区块链为核心的Web3.0数字生态

CECBC

IntelliJ IDEA 的 Metamodel 配置

HoneyMoose

模块六作业

Geek_e6f7f6

架构训练营

Kafka的生产集群部署

编程江湖

kafka

用复杂的方式学会数组(Python实现动态数组)

宇宙之一粟

Python 数据结构 数组 1月月更

站在面试官角度,看求职与内卷

程序人生

react源码解析20.总结&第一章的面试题解答

buchila11

React

TCP socket和web socket的区别

汪子熙

前端 node,js 1月月更

Web3:创作者经济的黄金时代

CECBC

Hibernate 如何生成 JPA 的 Metamodel

HoneyMoose

JavaScript 12种设计模式汇总

编程江湖

JavaScript

尚硅谷《MySQL高级特性篇》教程发布

@零度

MySQL

Magic UI四子围城,2022折叠屏灵魂觉醒

脑极体

1月月更|推荐学Java——第一个MyBatis程序

逆锋起笔

Java mybatis SSM框架 MyBatis标签 mybatis配置

如何优雅的遍历Mycat分库表

编程江湖

mycat

读《底层逻辑》

wood

300天创作

使用亚马逊云科技安全服务防御、检测和响应 Log4j 漏洞

亚马逊云科技 (Amazon Web Services)

网络

AWS Command Line Interface 使用S3入门

阿呆

AWS S3

架构师实战营3期毕业设计

小饭🍎

为什么要把系统拆分成分布式的?为啥要用dubbo?

JavaEdge

1月月更

面试突击15:说一下HashMap底层实现?及元素添加流程?

王磊

ReactNative进阶(十四):初探 Gradle

No Silver Bullet

Gradle React Native 1月月更

城墙上的“云镜派”,如何守护云上资产安全?

脑极体

Java 常用类大讲解!3️⃣(手写 API、源码必备)

XiaoLin_Java

Java 数组 1月月更

react源码解析19.手写迷你版react

buchila11

React

一个基于PoS共识算法的区块链实例解析(升级版)

恒生LIGHT云社区

区块链 共识算法 PoS

“5G+区块链”护航新生儿转诊“生命通道”

CECBC

大咖眼中的AI开源 | 张建:图神经网络和DGL的实际应用

亚马逊云科技 (Amazon Web Services)

网络

如何提高后台服务应用问题的排查效率?日志 VS 远程调试

汪子熙

node.js 后台开发 1月月更

恶意软件盯上了加密货币,两家以色列公司受到攻击_安全_田晓旭_InfoQ精选文章