Cardinal RAT
O Cardinal RAT ou Trojan de Acesso Remoto é uma ameaça de malware que foi observada pela primeira vez em 2017. Embora não tenha sido vista em ataques ativos desde aquela época, ela ressurgiu em 2019, de repente, visando empresas localizadas em Israel. A versão mais recente do Cardinal RAT tem várias atualizações que permitem realizar ataques mais eficazes contra suas vítimas. Essas modificações parecem ser projetadas principalmente para evitar a detecção e dificultar a análise do código do Cardinal RAT.
Índice
Como o Ataque do Cardinal RAT Funciona
Os ataques iniciais do Cardinal RAT em 2017 refletiram um número muito baixo de ataques em geral, com apenas cerca de 27 amostras do Cardinal RAT observadas em todo o mundo. Os ataques do Cardinal RAT foram entregues por meio de um download de Trojan conhecido como Carp. Este Trojan Downloader usa scripts de macro corrompidos no Microsoft Office para entregar o Cardinal RAT ao computador da vítima. Usando o Cardinal RAT, os criminosos conseguiram coletar nomes de usuário e senhas, registrar a atividade on-line da vítima e coletar dados do computador da vítima. A versão Cardinal RAT que foi usada em ataques em 2019, marcada como versão 1.7.2, também parece ter fortes técnicas de ofuscação que dificultam aos pesquisadores de segurança do PC estudar o código do Cardeal RAT. Um recurso adicional que foi integrado nas versões mais recentes do Cardinal RAT é o uso de esteganografia, onde arquivos e códigos corrompidos são incorporados dentro de uma imagem. Nesse caso, o Cardinal RAT se oculta usando o .NET e um arquivo BMP incorporado. Quando executado, o Cardinal RAT lerá o arquivo BMP e usará os dados de pixel para descriptografar os dados ocultos.
Ataques Recentes do Cardinal RAT foram Ligados a Outra Família de Malware
O Cardinal RAT foi ligado a uma família de malware conhecida como EVILNUM em sua encarnação de 2019. O malware dessas duas famílias foi usado muito próximo para segmentar empresas relacionadas e também usou táticas de engenharia social bastante semelhantes. O EVILNUM é uma família de malware baseada em JavaScript e permite que criminosos explorem um dispositivo de destino para determinar outros malwares que podem ser entregues. O EVILNUM também pode ser usado para configurar a persistência e baixar o Cardinal RAT no computador da vítima (ou outro malware).
Alguns Detalhes sobre o Ataque do Cardinal RAT
O Cardinal RAT pode ser distribuído de diferentes maneiras, e os atuais ataques do Cardeal RAT têm como alvo vítimas do setor financeiro e empresas associadas ao mundo da moeda digital, dando ao Cardeal RAT o potencial de causar danos financeiros devastadores. O Cardinal RAT parece ser entregue via anexos de e-mail de spam corrompidos atualmente. No entanto, devido à natureza específica das metas, pode ser verdade que o Cardinal RAT também esteja sendo entregue por meio de táticas de email mais direcionadas. Em ambos os casos, as vítimas receberão uma mensagem de e-mail com um anexo de arquivo corrompido que, quando aberto, instalará o Cardinal RAT em seus computadores.
Protegendo os Seus Dados contra Ameaças como o Cardinal RAT
A melhor proteção contra ameaças como o Cardinal RAT é ter medidas de segurança fortes ao lidar com mensagens de email não solicitadas ou dados potencialmente ameaçadores. É essencial que as entidades de negócios tomem providências para garantir que todos os seus funcionários estejam cientes da maneira mais segura de lidar com e-mails e anexos de e-mail, especialmente funcionários com acesso a dados sigilosos e em cargos mais altos, que geralmente são alvos desses ataques. Além de aprender a lidar com e-mails com segurança, é importante usar um programa de segurança forte que esteja totalmente atualizado para interceptar e remover ameaças como o Cardinal RAT.
