Após quase 2 anos de inatividade, o malware Cardinal RAT voltou a ser detectado pela Unidade 42 da Palo Alto Networks. De acordo com a companhia, o vírus tem usado uma técnica conhecida como esteganografia, que consiste em se autoprogramar a fim de mascarar dados e dificultar a ação de softwares de segurança.
A princípio, o alvo do Cardinal RAT são as empresas que operam criptomoedas e de fintech em geral, mais precisamente com sede em Israel. Em seu tempo de atividade, foram registradas 13 ocorrências: 9 em Israel, 2 nos EUA, 1 no Japão e 1 na Áustria. Não foram divulgados detalhes sobre as empresas afetadas.
Fonte: Tech Advisor UK
Em sua versão antiga, o Cardinal RAT se instalava através da execução de macros maliciosas de planilhas do Microsoft Excel. Em sua última versão, ele tem usado dados incorporados em um arquivo de imagem Bitmap, que geralmente chega até o micro dos alvos via mensagem (indesejada) de email. Ao ser aberto o Spam, o código malicioso é executado, iniciando o ataque.
O malware tenta roubar senhas, nomes de usuário e outros dados confidenciais e, em seguida, envia-os para seus desenvolvedores, dando-lhes a possibilidade de roubar as criptomoedas das vítimas. A Unidade 42 identificou as seguintes ações no malware: coleta de informações, atualização de configurações, reversão de proxy, execução de comandos, autodesinstalação, recuperação de senhas, download e execução de novos arquivos, keylogging, captura de telas, autoatualização e limpeza de cookies de navegadores.
A empresa alerta aos usuários de internet que, para se manterem protegidos do Cardinal RAT, é importante não abrirem mensagens indesejadas recebidas por email. Também é importante manter um antivírus, desenvolvido por uma empresa de renome, instalado (e atualizado) na máquina, para ajudar na proteção.
Categorias