手机网站php源码,公司名称注册查询网,HTML发布网站,鹤山做网站公司近日#xff0c;网络安全公司Palo Alto Networks威胁研究部门Unit 42发博称#xff0c;已确认Cardinal RAT自2017年4月起对两家从事外汇和加密交易软件开发的以色列金融科技公司发起过攻击。
Cardinal RAT是可远程访问特洛伊木马#xff08;RAT#xff09;#xff0c;攻击…近日网络安全公司Palo Alto Networks威胁研究部门Unit 42发博称已确认Cardinal RAT自2017年4月起对两家从事外汇和加密交易软件开发的以色列金融科技公司发起过攻击。
Cardinal RAT是可远程访问特洛伊木马RAT攻击者可远程控制系统2017年Palo Alto Networks首次发现了Cardinal RAT但在这两年中并没有发现其有攻击行为。
Cardinal RAT使用了一种新的技术来感染计算机使用一个名为Carp的下载程序和Microsoft Excel文档中的恶意宏将源代码编译成可执行文件然后部署恶意软件。此外Cardinal RAT可能还与基于JavaScript的恶意软件称为EVILNUM存在关联。
最新发现的Cardinal RAT版本进行了一系列的更新同时应用很多新技术例如速记式加密。速记式加密是一种对数据加密的算法其最大的优点在于当把深度信息隐藏到基本视频以后并没有给视频带来任何明显的变化而且视频的数据量的大小也不会被改变。
Cardinal RAT恶意软件使用嵌入到BitmapBMP映像文件中的数据该文件在安装期间加载到受害者的计算机上。表面看似是一个无害的图标但是一旦打开之后嵌入的恶意代码就会被解码执行启动攻击窃取用户名、密码等敏感数据甚至是电脑截屏然后将数据传回给恶意软件运营商以达到窃取加密货币的目的。
例外Unit 42还表示Cardinal RAT存在以下行为
收集信息更新设置充当反向代理执行命令自行卸载恢复密码下载并执行新文件键盘记录捕获屏幕截图Cardinal RAT自动更新清除浏览器中的cookie以色列是Cardinal RAT攻击的重点对象不仅这次Unit 42发现的两家被攻击的金融科技公司都来自以色列另外查看提交给Virustotal的文件有13个Carp下载程序文档通过上图我们可以看到有9个文档的第一提交者是来自以色列。对比Cardinal RAT的文档提交情况EVILNUM的地理分布情况就比较平均。
由于恶意软件是通过附加到垃圾邮件的诱饵文件进入电脑中并发送给潜在的加密货币交易者。因此Unit 42给出了这样的建议要具备有效的垃圾邮件过滤、适当的系统管理和最新Windows主机。除此之外下面这三天防御措施也要提上日程
不允许lnk文件作为附件的入站电子邮件不允许包含单个lnk文件的附加zip文件作为附件的入站电子邮件不允许来自文档包含宏的外部源的入站电子邮件除非配置了正确的策略强制父子进程策略以限制恶意软件使用脚本语言。
