Der berüchtigte Carbanak Banking-Trojaner, der mehr als Stola $1 Milliarden von den globalen Finanzorganisationen ist wieder aktiv. Sicherheitsforscher bei Csis.dk es geschafft, eine signierte binäre zu isolieren, die später eine neue Probe von Carbanak entpuppte, auch als Anunak bekannt.
Carbanak ist ein wahrer Alptraum für Banken. Kaspersky Lab die Carbanak Angriff "der große Bankraub" genannt. Die Analyse durch Spezialisten von Kaspersky und Csis getan ergab, dass der Trojaner zurückgekehrt und ist derzeit Unternehmen in Europa und den Vereinigten Staaten Targeting. Die Angriffe werden über Phishing-Angriffe initiiert.
Virustotal hat eine bösartige Datei im Zusammenhang mit Carbanak analysiert. Schauen Sie sich die Carbanak Scan-Bericht.
Was ist neu mit dem neuen Carbanak Variant?
Einer der faszinierende Fakten über Carbanak 2.0 ist die Tatsache, dass sie digital signiert. Dies wurde auf einem betroffenen Windows-gefunden 7 System an folgender Stelle:
→
C://Programm // DataMozilla // svchost.exe. Lage auf Windows XP: C://Dokumente und Einstellungen // Alle Benutzer // Anwendungsdaten // Mozillasvchost.exe
Es fügt auch eine runkey in der Registrierung, um sicherzustellen, dass der Code ausgeführt wird, wenn das System neu gestartet wird.
CSIS Forscher bestätigen, dass der Ordner und die Datei sind sowohl statische als auch als Indikator des Kompromisses eingesetzt werden. Ein Indikator für Kompromiss ist ein Artefakt in einem Netzwerk oder auf einer einzigen Maschine befindet, die vertraulich eine Infektion des Computers anzeigt.
HINWEIS dass Carbanak injiziert sich in den Prozess der svchost.exe. Es gelingt auch seine Präsenz auf dem Speicher versteckt.
Carbanak ist auch Plugins entwickelt, zu verwenden. Sie werden mit Hilfe von Carbanak Protokoll installiert und kommunizieren mit einem hart codierte IP-Adresse über den TCP-Port 443. Die Plugins erfolgreich bei der Analyse des Csis Team heruntergeladen wurden wi.exe und klgconfig.plug.
Die Unterschiede zwischen der alten und der neuen Version von Carbanak sind:
- Neue Ziele hinzugefügt werden.
- Ein neues proprietäres Protokoll verwendet wird.
- Zufällige Dateien und mutexes werden verwendet,.
- Vordefinierte IP-Adressen verwendet werden,, anstelle von Domänen.
Diese Unterschiede beiseite, die Binärdateien der beiden Versionen sind fast die gleichen. Interessanterweise, die Kommando- und Kontrollserver der neuen Probe kann zu einem vertrauten kugelsicher Hosting-Unternehmen verknüpft werden.
Carbanak Neue Digitale Signatur
Wie bereits festgestellt, die neue Carbanak digital Comodo unterzeichnet mit. Diese Tatsache kann über mehrere Schlussfolgerungen bringen. Zunächst, der Raum zwischen den Daten, an denen das Unternehmen registriert wurde,, und ein Zertifikat ausgestellt wurde, dass die Cyber-Gauner kann darauf hindeuten, höchstwahrscheinlich ihre eigene Firma registriert. Um das zu tun, sie haben gestohlen Identität oder gefälschte Dokumente verwendet.
Eine andere Erklärung ist, dass die Hacker-Team hat ein reales Unternehmen aufgenommen, anstatt ein gestohlenes Zertifikat der Beschäftigung (wie mit der alten Version). Der Grund, das Unternehmen in erster Linie erstellt wurde, kann aus geschmiedetem Transaktionen Geld zu erhalten sein. Wie bereits von Kaspersky festgestellt, Carbanak Transaktionen sind sehr bedeutsam und benötigen die volle Kontrolle über den Transfer-Prozess.
Globale Finanzorganisationen, vor allem die in Europa oder in den USA befindet sich diejenigen,, kann in großer Gefahr sein, da Carbanak in einer streng gezielt wirkt. Weiter, es kann unbemerkt bleiben, weil sie in kleinen Stückzahlen eingesetzt wird. Zusätzlich, es kann sogar noch neue Varianten von Carbanak Planung sein großes Geschäft zu attackieren.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: