SECURITY20. März 2019

Gezielte Cyberangriffe auf FinTechs: Kriminelle nutzen Cardinal RAT und Evilnum

Cardinal RAT und Evilnum dienen als Werkzeuge zum Angriff auf FinTechs
igor stevanovic/bigstock.com

Schon in der Vergangenheit berichtete Unit 42, das Malware-Forschungsteam von Palo Alto Networks, über die kleinvolumige Malware-Familie Cardinal RAT. Cyber-Kriminelle  haben nun eine Reihe von Änderungen an diesem Remote-Access-Trojaner (RAT) vorgenommen, um der  Erkennung zu entgehen. Die aktuell beobachteten Angriffe richteten sich gegen FinTechs.

Während der Erforschung dieser Angriffe hat Palo Alto Networks eine mögliche Beziehung zwischen Cardinal RAT und einer anderen Malware-Familie namens Evilnum entdeckt. Evilnum ist eine JavaScript-basierte Malware-Familie, die bei Angriffen gegen ähnliche Unternehmen eingesetzt wird.

Seit der ursprünglichen Entdeckung von Cardinal RAT haben die Angreifer einige kleinere Angriffe durchgeführt. Die Aktualisierungen beschränken sich auf Verschleierungstechniken, darüber hinaus waren einige Änderungen an der Malware selbst zu verzeichnen.

Namensgeber: Die roten Cardinal (Cardinalidae) sind eine Vogelfamilie.<q>patrimonio/bigstock.com</q>
Namensgeber: Die roten Cardinal (Cardinalidae) sind eine Vogelfamilie.patrimonio/bigstock.com

Die Netzwerkkommunikation und die dem entfernten Betreiber zur Verfügung stehenden Funktionen sind hingegen gleichgeblieben:
1. Sammeln von Informationen über das Angriffsopfer
2. Update-Einstellungen
3. Reverse-Proxy-Funktion
4. Ausführung von Befehlen
5. Autonom durchgeführte Deinstallation
6. Wiederherstellung von Passwörtern
7. Herunterladen und Ausführen neuer Dateien
8. Keylogging
9. Aufzeichnung von Screenshots
10. Durchführung von Updates
11. Entfernung von Cookies aus Browsern.

Cardinal RAT und Evilnum wurden beide bei Angriffen mit gezielter Distribution gegen FinTech-Unternehmen eingesetzt. In einem Fall wurden beide Malware-Familien beim gleichen Ziel in kurzer Zeit beobachtet, während Dropper für beide Familien ähnlich thematisierte Köderdokumente teilen. Auch wenn die beiden Familien nicht miteinander verbunden sind, verfolgen die jeweiligen Akteure ähnliche Interessen.

Ganz allgemein hilft gegen Cardinal RAT und Evilnum, was auch gegen alle anderen Viren und Trojaner hilft: FinTech-Unternehmen sollten sicherstellen, dass sie vor der verwendeten Malware geschützt sind. Unternehmen mit guter Spam-Filterung, ordnungsgemäßer Systemadministration und aktualisierten Windows-Umgebungen weisen in jedem Fall ein viel geringeres Infektionsrisiko auf.

Generische Abwehrmaßnahmen gegen diese Risiken umfassen:
1. Eingehende E-Mails mit LNK-Datei als Anhang oder ZIP-Dateien, die eine einzige LNK-Datei enthalten, nicht zulassen.
2. Eingehende E-Mails aus externen Quellen, in denen Dokumente mit Makros enthalten sind, nicht zulassen, oder sicherstellen, dass die richtige Richtlinie konfiguriert ist.
3. Einschränkung der Verwendung von Skriptsprachen.

Weitere Details zu den Cyber-Angriffen auf FinTechs mit der Malware Cardinal RAT und Evilnum finden Sie hier.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert