Компания Palo Alto Networks, специализирующаяся на кибербезопасности, сообщила об этом в своем блоге. Согласно отчету подразделения Unit 42 Palo Alto Networks, фирма впервые столкнулась со старой версией этого вредоносного ПО, Cardinal RAT, еще в 2017 году.
С апреля 2017 года Cardinal RAT был обнаружен при изучении атак на две израильские финтех-компании, занимающиеся разработкой программного обеспечения для торговли криптовалютами и на форексе. Программное обеспечение представляет собой троян удаленного доступа (RAT), который позволяет злоумышленнику удаленно получить контроль над системой.
Программное обеспечение собирает данные о жертвах, обновляет свои настройки, действует как обратный прокси-сервер, выполняет команды и удаляет себя. Затем он восстанавливает пароли, загружает и исполняет файлы, регистрирует нажатия клавиш, делает снимки экрана, обновляет себя и удаляет файлы cookie из браузеров. Unit 42 отмечает, что были засвидетельствованы атаки с использованием этого вредоносного ПО на финтех-фирмы, которые занимаются форекс и криптовалютой, и в большинстве своем базируются в Израиле.
Далее в отчете утверждается, что группа исследователей угроз обнаружила возможную корреляцию между Cardinal RAT и вредоносной программой на основе JavaScript, получившей название EVILNUM, которая также используется для атак на подобные организации. При просмотре файлов, представленных одним и тем же клиентом за тот же период времени, что и отчет по Cardinal RAT, были обнаружены копии EVILNUM.
В сообщении далее отмечается, что и эта вредоносная программа, похоже, используется только для атак на финтех-организации. По итогу исследования данных компания утверждает, что еще раз обнаружила EVILNUM и Cardinal RAT в один и тот же день на устройствах в одной организации, что особенно примечательно, поскольку оба этих семейства вредоносных программ встречаются редко. Сообщается, что EVILNUM может непрерывно работать в системе, запускать произвольные команды, загружать дополнительные файлы и делать снимки экрана.
Индустрия криптовалют сталкивается с проблемами в области безопасности с завидным постоянством. Недавно появилась информация, что вредоносное расширение для Google Chrome распространялось под видом бесплатной раздачи токенов. Кроме того, в начале прошлого месяца Palo Alto Networks сообщала об обнаружении нового вируса CookieMiner, который ворует криптовалюты у пользователей Mac. А в первой половине января фирма обнаружила новую программу криптоджекинга для майнинга монеро, которая нацелилась на облачные сервера.