Las empresas de fintech israelíes que trabajan con el comercio de divisas y cripto están siendo atacadas por el malware, según un artículo publicado el 19 de marzo en el blog del departamento de investigación de amenazas Unit 42 de la empresa de ciberseguridad Palo Alto Networks.

Según el informe, la Unidad 42 se encontró por primera vez con una versión anterior del malware en cuestión, Cardinal RAT, en 2017. Desde abril de 2017, Cardinal RAT ha sido identificado al examinar los ataques contra dos compañías fintech con sede en Israel que se dedican al desarrollo de software de comercio de divisas y cripto. El software es un troyano de acceso remoto (RAT), que permite al atacante tomar el control del sistema de forma remota.

Te puede interesar: Google elimina criptomalware que apuntaba a usuarios de Blockchain.com y MyEtherWallet

Las actualizaciones aplicadas al malware tienen como objetivo eludir la detección y dificultar su análisis. Tras explicar las técnicas de ofuscación empleadas por el malware, los investigadores explican que la carga útil en sí misma no varía significativamente en términos de modus operandi o capacidades con respecto a la original.

El software recopila los datos de las víctimas, actualiza su configuración, actúa como un proxy inverso, ejecuta comandos y se desinstala. A continuación, recupera contraseñas, descarga y ejecuta archivos, registra las pulsaciones de teclas, tomar capturas de pantalla, se actualiza y limpia las cookies de los navegadores. La Unidad 42 observa que ha sido testigo de ataques con este malware dirigidos contra empresas fintech que se dedicaban al comercio de divisas y cripto, principalmente con sede en Israel.

El informe afirma además que el equipo de investigación de amenazas descubrió una posible correlación entre Cardinal RAT y un malware basado en JavaScript denominado EVILNUM, que se utiliza en ataques contra organizaciones similares. Cuando se examinan los archivos enviados por el mismo cliente en un plazo similar al de las muestras del Cardinal RAT, la Unidad 42 también identificó, según se informa, casos de EVILNUM.

No dejes de leer: Informe muestra que el 'cryptojacking' es el mejor ejemplo del cambio hacia ataques cibernéticos discretos

El post señala además que también este malware parece ser utilizado sólo en ataques contra organizaciones de fintech. Al investigar los datos, la empresa afirma haber encontrado otro caso en el que una organización presentó tanto EVILNUM como Cardinal RAT el mismo día, lo que es particularmente notable ya que ambas familias de malware son raras.

EVILNUM es capaz de configurarse para ser persistente en el sistema, ejecutar comandos arbitrarios, descargar archivos adicionales y tomar capturas de pantalla.

Como Cointelegraph reportó recientemente, una extensión del navegador Google Chrome engañaba a los usuarios para que participaran en un lanzamiento aéreo falso del exchange de criptomonedas Huobi se cobró más de 200 víctimas.

Sigue leyendo: Nueva Zelanda: el hackeado exchange Cryptopia espera reanudar el 'trading' a fines de marzo del 2019

Además, en un informe se señalaba la semana pasada que los delincuentes cibernéticos están favoreciendo, según se informa, los enfoques apresurados en los ataques realizados para obtener ganancias financieras, con el criptojacking como un ejemplo excelente de este cambio.