jueves, 21 de marzo de 2019

Las firmas de tecnología israelí golpeadas por el malware Cardinal RAT


Los investigadores de seguridad de TI en la Unidad 42 de Palo Alto Networks han descubierto un malware que se ha dirigido contra el ciberespacio israelí, especialmente aquellos que se relacionan con la tecnología y el sector financiero.

Apodado Cardinal RAT (troyano de acceso remoto) por los investigadores; el malware se dirige actualmente a dos compañías israelíes de tecnología financiera que desarrollan software relacionado con el comercio de divisas y de criptomoneda. El malware ha existido desde abril de 2017 y permite a los piratas informáticos tomar el control remoto del sistema en cuestión.

Según una publicación del blog de Palo Alto Networks, el malware no fue detectado durante los últimos dos años y llevó a cabo ataques de bajo volumen hasta ahora cuando los investigadores identificaron su versión actualizada utilizando "Carp Downloader" para descargar su carga útil a través de macros ocultadas en documentos de Microsoft.

El malware utiliza correos electrónicos de phishing para dirigirse a sus víctimas, especialmente a aquellas personas involucradas en el comercio de divisas o en el sector de las criptomonedas.

Al infectar el dispositivo de destino; el malware se actualiza a sí mismo, recopila datos de usuario, recupera contraseñas, habilita el registro de teclas, toma capturas de pantalla, descarga archivos nuevos, actúa como un proxy inverso, ejecuta comandos, se desinstala antes de limpiar las cookies de los navegadores.

Los investigadores de la Unidad 42 también descubrieron un vínculo entre Cardinal RAT y EVILNUM, un malware persistente basado en JavaScript utilizado en ataques similares. Esto sucedió después de que una de las firmas fintech seleccionadas compartió una muestra de malware con Palo Alto Networks en un período de tiempo similar durante el cual fue golpeado por Cardinal.

Algunas de las capacidades de EVILNUM incluyen configurar la persistencia, ejecutar comandos arbitrarios, descargar archivos adicionales y tomar capturas de pantalla.

Incluso si las dos familias no están vinculadas, ambas tienen intereses de focalización similares, por lo que las organizaciones de FinTech deben asegurarse de estar protegidas contra el malware utilizado. Si bien no hemos podido obtener una idea de lo que los atacantes hacen una vez con éxito en una red objetivo, es probable que (en función de los objetivos) utilicen su acceso para facilitar la ganancia financiera, dijeron Tom Lancaster y Josh Grunzweig de Palo Alto Networks. .

Además, los investigadores aconsejan que las empresas mantengan su filtro de spam, actualicen sus máquinas Windows a las últimas versiones, elaboren políticas y no permitan correos electrónicos entrantes con archivos LNK como archivos adjuntos o correos electrónicos entrantes con archivos ZIP adjuntos que contengan un solo LNK archivo dentro de ellos.


No olvides Compartir...

Siguenos en twitter: @disoftin

No hay comentarios:

Publicar un comentario

Más leídas este mes