Cardinal RAT: Aktive Malware zwei Jahre unentdeckt

Palo Alto Networks warnt vor aufgespürtem Remote-Access-Trojaner

[datensicherheit.de, 20.04.2017] Palo Alto Networks hat nach eigenen Angaben einen bisher unbekannten Remote-Access-Trojaner (RAT) entdeckt, der seit über zwei Jahren aktiv sein soll.

Downloader verwendet schädliche Makros in Microsoft-„Excel“-Dokumenten

Diese Malware wird demnach über eine bisher „einzigartige Technik“ ausgeliefert – ein von Forschern „Carp“ genannter Downloader verwende schädliche Makros in Microsoft-„Excel“-Dokumenten, um eingebetteten „C#“-Quellcode in eine ausführbare Datei zu kompilieren. Diese wiederum werde ausgeführt, um die RAT-Malware-Familie „Cardinal“ zu implementieren.

Köder oft im finanziellen Umfeld

Hierbei setzten Kriminelle zunächst eine Reihe von verschiedenen Ködern ein, um Opfer zur Ausführung der bösartigen Excel-Dateien zu verleiten. Die Mehrheit dieser Köder sei thematisch im finanziellen Umfeld einzuordnen, darunter gefälschte Kundenlisten für verschiedene Unternehmen.
Angesichts der Ähnlichkeiten, die einige dieser Köder aufwiesen, scheine es, dass die Angreifer eine Art Vorlage verwendeten, in der sie einfach bestimmte Zellen mit den entsprechenden Bildern oder Informationen tauschten.

Bisher 27 einzigartige Samples von „Cardinal RAT“ beobachtet

Der Name „Cardinal RAT“ kommt laut Palo Alto Networks von internen Namen, die vom Malware-Autor in den beobachteten ausführbaren Dateien verwendet werden. Neben mehreren Samples des „Carp“-Downloaders seien bisher 27 einzigartige Samples von „Cardinal RAT“ beobachtet worden, die bis zu zwei Jahre zurückzudatieren seien. Wahrscheinlich sei die geringe Anzahl an „in freier Wildbahn“ beobachteter Samples teilweise dafür verantwortlich, dass diese Malware-Familie so lange „unter dem Radar“ habe bleiben können.

Weitere Informationen zum Thema:

Paloalto NETWORKS, 20.04.2017
Cardinal RAT Active for Over Two Years

datensicherheit.de, 23.03.2017
Palo Alto Networks meldet Missbrauch von Android Plugin Frameworks