La firma de seguridad informática Palo Alto Networks, a través de un informe de su Unidad 42, acaba de revelar que un grupo de hackers desconocidos están utilizando una versión del malware Cardinal RAT para comprometer los sistemas informáticos de firmas fintech y de criptomonedas y obtener credenciales y otros datos confidenciales que les permitan hacerse con los fondos de los usuarios.
Desde que fue detectado por primera vez hace dos años, el troyano Cardinal RAT se ha mantenido bajo el radar de las empresas de seguridad informática. Sin embargo, esto no ha impedido que los hackers lo utilicen para infiltrarse en las redes de empresas de gran valor que operan bajo el ecosistema de Windows.
La variante de Cardinal RAT descubierta por los investigadores de Palo Alto tiene un comportamiento similar a la versión anterior del troyano, la cual utilizaba campañas de phishing a través de correo electrónico y archivos maliciosos para atraer la atención de las víctimas.
El informe revela nuevos métodos para mantener oculto el código subyacente, entre los que destaca la capacidad de los hackers para desplegar la esteganografía que permite ocultar el código compilado en .NET y que luego se incrusta en un archivo de imagen .BMP. Además de otros ajustes, el malware mantiene su objetivo de infiltrarse en ordenadores y realizar acciones maliciosas.
Con respecto a las capacidades de la nueva versión de Cardinal RAT, el malware puede recopilar contraseñas, nombres de usuario, realizar capturas de pantalla e incluso registrar el uso de teclas por parte del usuario, lo que le permite al hacker obtener datos que le conduzcan a sus cuentas confidenciales y finalmente a sus fondos.
Asimismo, Cardinal RAT tiene la capacidad para descargar archivos y ejecutarlos, además de actualizarse y actualizar la configuración de la PC. También puede desinstalar y eliminar todas las cookies del navegador con el objetivo de mantener en secreto su actividad una vez inyecta el código.