Báo cáo: Phần mềm độc hại nhắm vào các công ty fintech ở lĩnh vực tiền kỹ thuật số và giao dịch ngoại hối tại Israel

Theo một bài đăng trên blog từ Bộ phận nghiên cứu hiểm họa Đơn vị 42 của công ty an ninh mạng Palo Alto Networks được đăng tải vào ngày 19 tháng 3, các công ty fintech của Israel hoạt động ở lĩnh vực giao dịch ngoại hối và tiền kỹ thuật số đang bị những phần mềm độc hại đưa vào tầm ngắm.

Theo báo cáo, Đơn vị 42 lần đầu tiên gặp phải một phiên bản phần mềm độc hại cũ hơn của Cardinal RAT vào năm 2017. Kể từ tháng 4 năm 2017, Cardinal RAT đã bị lộ danh tính khi đang tiến hàng tấn công 2 công ty tài fintech phát triển phần mềm giao dịch ngoại hối và tiền crypto có trụ sở tại Israel. Phần mềm này là một phần mềm độc hại truy cập từ xa (RAT), cho phép kẻ tấn công chiếm quyền điều khiển hệ thống từ xa.

Các phần mềm độc hại thường cập nhật nhiều phiên bản mới nhằm không bị phát hiện và phân tích. Sau khi phân tích kỹ thuật ẩn của phần mềm độc hại, các nhà nghiên cứu giải thích rằng phần dữ liệu vận chuyển không có nhiều sự thay đổi đáng kể so với bản gốc của phương pháp và khả năng module.

Phần mềm thu thập dữ liệu nạn nhân, cập nhật cài đặt, hoạt động như một proxy hai chiều, thực thi các lệnh và tự gỡ cài đặt. Sau đó, nó sẽ khôi phục mật khẩu, tải xuống và thực thi các tệp, ghi lại các lần nhấn phím, chụp ảnh màn hình, tự cập nhật và xóa cookie khỏi trình duyệt. Đơn vị 42 lưu ý rằng họ đã chứng kiến nhiều cuộc tấn công sử dụng phần mềm độc hại nhắm vào các công ty giao dịch ngoại hối và tiền kỹ thuật số có trụ sở tại Israel.

Báo cáo tuyên bố thêm rằng Bộ phận nghiên cứu hiểm họa đã phát hiện ra mối tương quan có thể tồn tại giữa Cardinal RAT và phần mềm độc hại dựa trên JavaScript có tên EVILNUM. EVILNUM được sử dụng trong các cuộc tấn công chống lại các tổ chức tương tự. Khi xem xét các tệp được gửi bởi cùng một khách hàng trong cùng một khung thời gian đến Cardinal RAT, Đơn vị 42 cũng đã xác nhận được sự tồn tại của EVILNUM.

Bài đăng lưu ý thêm rằng phần mềm độc hại này dường như chỉ được sử dụng trong các cuộc tấn công chống lại các tổ chức tài chính công nghệ. Khi nghiên cứu dữ liệu, công ty tuyên bố đã tìm thấy một trường hợp khác trong đó một tổ chức đã gửi dữ liệu cho cả EVILNUM và Cardinal RAT trong cùng một ngày. Điều này rất đáng lưu ý vì cả 2 loại phần mềm độc hại này đều khá hiếm.

EVILNUM được cho là có khả năng thiết lập để tồn tại bền bỉ trên hệ thống, chạy các lệnh tùy ý, tải xuống các tệp bổ sung và chụp ảnh màn hình.

Theo thông tin gần đây, một phần mềm mở rộng trình duyệt Google Chrome đã lừa hơn 200 người dùng tham gia một phiên phát hành tiền crypto miễn phí giả mạo của sàn giao dịch Huobi.

Ngoài ra, một báo cáo được phát hành vào tuần trước lưu ý rằng tội phạm mạng đang rất ủng hộ những phương pháp tiếp cận lâu dài trong các cuộc tấn công nhằm thu lợi nhuận tài chính, và tấn công tiền kỹ thuật số là ví dụ điểm hình của phương pháp này.  

Theo Cointelegraph

Trả lời

error: Bài viết được bảo vệ!