Ряд финтех-компании из Израиля, принимающие участие в торгах на рынках Forex и криптовалют, стали мишенью для вредоносной активности, говорится в отчете, опубликованном по результатам проведенного расследования компании Palo Alto Networks.
Анализ проводили специалисты 42-го исследовательского отдела фирмы, специализирующегося на криптобезопасности. Согласно их отчету, эксперты впервые обнаружили следы активности в 2017 году. Речь идет о вредоносной программе Cardinal RAT, активность которой была направлена против ряда финтех-фирм, прежде всего расположенных в Израиле.
Как выяснилось, начиная с апреля 2017 года программа неоднократно Cardinal RAT использовалась для кибератак против как минимум двух израильских финтех-компаний, занятых торговлей на рынках Forex и криптовалют. Вредоносная программа представляла собой троян удаленного доступа (RAT), позволявший злоумышленникам удаленно управлять атакуемой системой.
За прошедшее время, как отмечают исследователи, вредоносные программы неоднократно обновлялись. Это делалось, чтобы избежать обнаружения и затруднить анализ их вредоносной деятельности. Исследователи также объяснили в отчете, какие использовались методы для запутывания следов, отметив, что внутри сам вредоносный кода для различных версий программы мало отличался между собой.
Рис. Встроенная вредоносная BMP-картинка внутри загрузчика. Источник: Palo Alto Networks
Обнаруженная программа собирала данные о зараженных жертвах, обновляла их настройки и работала как обратный прокси-сервер, позволяя выполнять вредоносные команды и в последующем удаляться с компьютера.
С помощью этой вредоносной программы атакующие могли восстановить использованные пароли, загрузить и исполнить запускавшиеся в работу файлы, вести фоновую регистрация нажатий на клавиатуру. Программа также позволяла делать снимки экрана, умела самообновлять свой код и удалять файлы cookie из браузеров.
Cardinal RAT и EVILNUM
Далее в отчете утверждается, что исследователи обнаружили также связь между двумя вредоносными программами – Cardinal RAT и EVILNUM – другой вредоносной программой на основе JavaScript, которая использовалась для атак на финтех-организации в Израиле.
Рис. Раcпределение по странам для загрузчика Carp. Источник: Palo Alto Networks
При просмотре файлов, отправленных в адрес одинаковых жертв в одном и том же временном интервале, исследователи 42 отдела обнаружила одинаковые элементы в образцах программы Cardinal RAT, которые также использовались в коде EVILNUM.
Рис. Раcпределение по странам для загрузчика Carp. Источник: Palo Alto Networks
Вредоносная программа EVILNUM была рассчитана на постоянное размещение на компьютере жертвы с возможностью поддержки удаленного исполнения произвольных команд, загрузки любых файлов и получение снимков экрана с компьютера.