En 2017, l’unité 42 de Palo Alto a découvert une famille de malware baptisée Cardinal RAT. De récentes découvertes de cette même équipe de chercheurs indiquent qu’une nouvelle version de ce malware aurait été utilisée pour attaquer des sociétés implantées en Israël et spécialisées dans l’industrie technologique financière (FinTech).
Le malware pourrait permettre aux attaquants de collecter des informations sur la machine de la victime, d’exécuter des commandes, de récupérer des mots de passe, de télécharger et d’exécuter des fichiers sur le poste, d’enregistrer les frappes du clavier, de prendre des captures d’écran etc. Les pirates auraient mis à jour leur malware en y intégrant des techniques d’obfuscation.
Par ailleurs, les chercheurs de Palo Alto ont remarqué que des échantillons du malware EVILNUM (connu pour viser le secteur de la finance) auraient été téléchargés en même temps que ceux de Cardinal RAT sur Virus Total.
Même si plusieurs différences ont été observées entre les campagnes EVILNUM et Cardinal RAT (notamment dans la géographie des pays ciblés), il est possible que les deux malware aient été utilisés par un seul même attaquant pour compromettre des FinTech.