As fintechs israelenses que trabalham com negociações forex e criptomoedas estão sendo atacadas por malwares, de acordo com um post no blog do departamento de pesquisa a ameaças Unidade 42, da empresa de cibersegurança Palo Alto Networks publicado nesta terça-feira, 19 de março.
De acordo com o relatório, a Unidade 42 encontrou pela primeira vez uma versão antiga do malware, o Cardeal RAT, em 2017. Desde abril de daquele ano, o Cardeal RAT foi identificado em ataques contra duas empresas fintech sediadas em Israel envolvidas em desenvolvimento de softwares de negociação forex e de criptomoedas. O software é um RAT (Remote Access Trojan), que permite ao atacante controlar remotamente o sistema.
As atualizações aplicadas pelo malware visam evitar a detecção e dificultar sua análise. Depois de explicar as técnicas de ofuscação empregadas pelo malware, os pesquisadores afirmam que a carga útil em si não varia significativamente em comparação com o original em termos de modus operandi ou capacidades.
O software coleta dados da vítima, atualiza suas configurações, age como um proxy reverso, executa comandos e se desinstala. Em seguida, ele recupera senhas, baixa e executa arquivos, registra teclas pressionadas, captura imagens da tela, se atualiza e limpa os cookies dos navegadores. A Unidade 42 observa que testemunhou ataques usando esse malware direcionado a fintechs envolvidas em negociações forex e criptomoedas, principalmente baseadas em Israel.
O relatório afirma ainda que a equipe de pesquisa de ameaças descobriu uma possível correlação entre o Cardinal RAT e um malware baseado em JavaScript apelidado de EVILNUM, que é usado em ataques contra organizações semelhantes. Ao examinar os arquivos enviados pelo mesmo cliente em um período de tempo semelhante às amostras Cardinal RAT, a Unidade 42 também identificou o EVILNUM.
O post observa ainda que este malware parece ser usado apenas em ataques contra fintechs. Ao pesquisar os dados, a empresa afirma ter encontrado outro caso em que uma organização enviou tanto o EVILNUM, quanto o Cardeal RAT no mesmo dia, o que é particularmente notável, já que ambas as famílias desses malwares são raras.
O EVILNUM é capaz de se configurar para tornar-se persistente no sistema, executando comandos arbitrários, baixando arquivos adicionais e capturando imagens de tela.
Como o Cointelegraph informou recentemente, uma extensão do navegador Google Chrome enganando usuários para participarem de um falso airdrop da exchange de criptomoedas Huobi fez mais de 200 vítimas.
Além disso, um relatório observou na semana passada que os cibercriminosos estão preferindo abordagens mais lentas em ataques para ganhos financeiros, com o cryptojacking sendo um excelente exemplo dessa mudança.