พบการโจมตีด้วยมัลแวร์ Cardinal RAT อีกครั้ง โดยรอบนี้พุ่งเป้าไปที่บริษัทเทคโนโลยีทางการเงินในอิสราเอล
นักวิจัยจาก Palo Alto Networks เป็นผู้พบการกลับมาของมัลแวร์ในครั้งนี้ หลังจากที่พบครั้งแรกเมื่อปี 2017 มัลแวร์จะถูกดาวน์โหลดผ่านมัลแวร์ตั้งต้นที่ถูกเรียกว่า“ Carp” ที่จะมีการใช้ Macro ในเอกสาร Microsoft Excel เพื่อติดตั้ง Cardinal RAT บนเครื่องเหยื่อ มัลแวร์สามารถขโมยชื่อผู้ใช้และรหัสผ่าน, ล้างคุกกี้จากเบราว์เซอร์, keylogger และถ่ายภาพหน้าจอของเครื่องเหยื่อ
Cardinal RAT รุ่นล่าสุด (รุ่น 1.7.2) มีการเปลี่ยนแปลงที่สำคัญที่สุดคือการเพิ่มวิธีหลบหลีกการตรวจจับจาก Anti-virus ด้วยการใช้ steganography (การซ่อนชุดคำสั่งในไฟล์รูปภาพ) นักวิจัยยังค้นพบความสัมพันธ์ที่เป็นไปได้ระหว่าง Cardinal RAT กับมัลแวร์ที่ชื่อว่า "EVILNUM" โดยพบว่าบริษัทที่พบ Cardinal RAT จะมีการพบ EVILNUM ด้วย มัลแวร์ทั้งสองมีเป้าหมายเป็นบริษัทการเงินเหมือนกัน และลักษณะการโจมตีเหยื่อจะมีการส่งไฟล์แนบเป็นเอกสารที่มีการฝังโค๊ดอันตรายมาหลอกลวงเหยื่อเหมือนกัน ในเอกสารจะมีการระบุข้อมูลเป็นชื่อหรือเลขส่วนตัวที่เกี่ยวข้องกับการซื้อขาย forex หรือสกุลเงินดิจิตอลเหมือนกัน
ดังนั้นเพื่อลดความเสี่ยง องค์กรควรมีระบบตรวจสอบ spam ที่มีประสิทธิภาพ, ไม่อนุญาตให้อีเมลที่มีการแนบไฟล์เป็น .LNK หรือ zip ไฟล์ที่มี .LNK ไฟล์อยู่ข้างในไฟล์เดียว และอีเมลที่มีไฟล์แนบเป็นเอกสารที่มี Macro จากภายนอก สามารถส่งมาถึงผู้ใช้งานในองค์กรได้
ที่มา: threatpost.com
You must be logged in to post a comment.