В ходе операции используется обновленная версия трояна для удаленного доступа Cardinal.

Специалисты исследовательского подразделения Unit 42 компании Palo Alto Networks сообщили о новой вредоносной операции по взлому организаций в сфере криптовалютных операций и финансовых технологий. Целью злоумышленников является сбор учетных данных и другой конфиденциальной информации.

Для похищения данных киберпреступники используют обновленную версию трояна для удаленного доступа Cardinal. Вредонос используется с 2015 года, но ИБ-сообщество узнало о нем только в 2017 году. Несмотря на то, что Cardinal уже известен специалистам по кибербезопасности, злоумышленники продолжают использовать его для похищения данных пользователей Windows.

Как и предыдущий вариант трояна, новая версия распространяется с помощью фишинговых писем и вредоносных документов. Судя по указанным в полезной нагрузке данным, в новой кампании используется версия Cardinal 1.7.2. По состоянию на 2017 год актуальной версией являлась 1.4, а значит, киберпреступники регулярно обновляют свой троян.

В частности, в обновленной версии используются новые техники для обфускации кода. К примеру, для сокрытия образца, изначально написанного на .NET и внедренного в файл .BMP, используется стеганография.

Cardinal собирает пароли и логины, делает скриншоты и записывает нажатия клавиш на клавиатуре. Троян также способен загружать новые исполняемые файлы, обновлять себя и менять настройки зараженного компьютера. Когда нужные данные собраны, вредонос деинсталлирует сам себя и удаляет файлы cookie браузера.

Новая вредоносная операция направлена на израильские компании, в основном специализирующиеся на разработке ПО для криптовалютного трейдинга и Forex. Свидетельств успешности этих атак в настоящее время зафиксировано не было. Кто стоит за вредоносной кампанией, неизвестно.