AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

恶意软件盯上了加密货币,两家以色列公司受到攻击

  • 2019-03-21
  • 本文字数:987 字

    阅读完需:约 3 分钟

恶意软件盯上了加密货币,两家以色列公司受到攻击

近日,网络安全公司Palo Alto Networks威胁研究部门Unit 42发博称,已确认 Cardinal RAT 自 2017 年 4 月起对两家从事外汇和加密交易软件开发的以色列金融科技公司发起过攻击。


Cardinal RAT 是可远程访问特洛伊木马(RAT),攻击者可远程控制系统,2017 年 Palo Alto Networks 首次发现了 Cardinal RAT,但在这两年中,并没有发现其有攻击行为。


Cardinal RAT 使用了一种新的技术来感染计算机,使用一个名为 Carp 的下载程序和 Microsoft Excel 文档中的恶意宏将源代码编译成可执行文件,然后部署恶意软件。此外,Cardinal RAT 可能还与基于 JavaScript 的恶意软件(称为 EVILNUM)存在关联。


最新发现的 Cardinal RAT 版本进行了一系列的更新,同时应用很多新技术,例如速记式加密。速记式加密是一种对数据加密的算法,其最大的优点在于,当把深度信息隐藏到基本视频以后,并没有给视频带来任何明显的变化,而且视频的数据量的大小也不会被改变。


Cardinal RAT 恶意软件使用嵌入到 Bitmap(BMP)映像文件中的数据,该文件在安装期间加载到受害者的计算机上。表面看似是一个无害的图标,但是一旦打开之后,嵌入的恶意代码就会被解码执行,启动攻击,窃取用户名、密码等敏感数据,甚至是电脑截屏,然后将数据传回给恶意软件运营商,以达到窃取加密货币的目的。


例外,Unit 42 还表示 Cardinal RAT 存在以下行为:


  • 收集信息

  • 更新设置

  • 充当反向代理

  • 执行命令

  • 自行卸载

  • 恢复密码

  • 下载并执行新文件

  • 键盘记录

  • 捕获屏幕截图

  • Cardinal RAT 自动更新

  • 清除浏览器中的 cookie



以色列是 Cardinal RAT 攻击的重点对象,不仅这次 Unit 42 发现的两家被攻击的金融科技公司都来自以色列,另外查看提交给 Virustotal 的文件,有 13 个 Carp 下载程序文档,通过上图,我们可以看到有 9 个文档的第一提交者是来自以色列。



对比 Cardinal RAT 的文档提交情况,EVILNUM 的地理分布情况就比较平均。


由于恶意软件是通过附加到垃圾邮件的诱饵文件进入电脑中,并发送给潜在的加密货币交易者。因此,Unit 42 给出了这样的建议:要具备有效的垃圾邮件过滤、适当的系统管理和最新 Windows 主机。除此之外,下面这三天防御措施也要提上日程:


  • 不允许 lnk 文件作为附件的入站电子邮件,不允许包含单个 lnk 文件的附加 zip 文件作为附件的入站电子邮件;

  • 不允许来自文档包含宏的外部源的入站电子邮件,除非配置了正确的策略;

  • 强制父子进程策略以限制恶意软件使用脚本语言。


2019-03-21 18:293948
用户头像

发布了 497 篇内容, 共 337.2 次阅读, 收获喜欢 1927 次。

关注

评论

发布
暂无评论
发现更多内容

索信达控股上半年成绩出炉:核心业务收入大幅增长75.3%

索信达控股

Hash算法详细介绍与实现(一)

迷彩

hash算法 8月月更

MySQL常见面试题

浅羽技术

MySQL 数据库 面试 后端 8月月更

云原生(二十七) | Kubernetes篇之自建高可用k8s集群前置概念与操作

Lansonli

云原生 k8s 8月月更

头脑风暴:二叉搜索树中的众数

HelloWorld杰少

算法 LeetCode 8月月更

什么是数据结构

乌龟哥哥

8月月更

StarRocks 与奥威软件完成产品兼容认证,共同打造数据驱动的智慧企业

StarRocks

数据库

一文读懂隐私公链Findora生态布局

股市老人

vim设置go语法高亮

程序员欣宸

vim 8月月更

后端面试必备知识点

浅羽技术

Java 面试 后端 8月月更

购物体验值急转直下?消费体验的症结和解药在这里!

创意时空

J-Tech Talk | 编写Dockerfile的最佳实践

Jina AI

Docker J-Tech Talk

乐观锁和悲观锁各自应用场景

浅羽技术

Java 乐观锁 悲观锁 8月月更

拆解实体门店转型升级中的体验思维

创意时空

Solana流支付协议Zebec完成850万美元融资,CircleVentures等参投

西柚子

英特尔推出数据中心GPU Flex系列,以开放式软件堆栈助力开发者

科技之家

一文读懂隐私公链Findora生态布局

BlockChain先知

1个理念4个步骤,快速上手客户体验管理

创意时空

Mysql大法-Mysql索引失效VS Mysql存储引擎

知识浅谈

8月月更

每日一R「16」实践课之 kv-server(二)

Samson

学习笔记 8月月更 ​Rust

开源一夏 | React对于生命周期的深入研究

恒山其若陋兮

开源 8月月更

[JS真好玩] InfoQ创作者必备: 监控每天是谁取关了你?

HullQin

CSS JavaScript html 前端 8月月更

Solana流支付协议Zebec完成850万美元融资,CircleVentures等参投

小哈区块

史上秋招最全500道Java面试题:JVM+分布式+算法+锁+MQ+微服务+数据库

退休的汤姆

Java 程序员 社招 Java工程师 秋招

如何快速地学习东西(上篇)

宇宙之一粟

学习 成长 8月月更

一文读懂隐私公链Findora生态布局

鳄鱼视界

面对数字化转型,金融ITer要补的第一堂课:运营

王和全

数字化转型 运营 数据运营 金融业cio指南 证券行业

Solana流支付协议Zebec完成850万美元融资,CircleVentures等参投

股市老人

恶意软件盯上了加密货币,两家以色列公司受到攻击_安全_田晓旭_InfoQ精选文章