Den berygtede Carbanak Banking Trojan, der stjal mere end $1 milliarder fra globale finansielle organisationer er aktiv igen. Sikkerhed forskere på Csis.dk lykkedes at isolere en underskrevet binær der senere viste sig at være en ny prøve af Carbanak, også kendt som Anunak.
Carbanak er en sand mareridt til banker. Kaspersky Lab døbt Carbanak angreb "den store bankrøveri '. Analyse udført af specialister på Kaspersky og fælles sikkerhedsindikatorer afslørede, at den trojanske er vendt tilbage, og er i øjeblikket rettet mod selskaber i Europa og USA. Angrebene initieres via phishing.
VirusTotal har analyseret en skadelig fil forbundet med Carbanak. Tag et kig på den Carbanak scan rapport.
Nyheder med New Carbanak Variant?
En af de fascinerende fakta om Carbanak 2.0 er, at den er digitalt signeret. Dette blev fundet på et berørt Windows 7 system på følgende placering:
→
C://Program // DataMozilla // svchost.exe. Placering på Windows XP: C://Dokumenter og Indstillinger // Alle brugere // Application Data // Mozillasvchost.exe
Den tilføjer også en runkey til registreringsdatabasen for at sikre, at koden køres, når systemet genstartes.
CSIS Forskere bekræfte, at mappen og filen er både statiske og kan anvendes som en indikator for kompromis. En indikator for Kompromis er en artefakt placeret på et netværk eller på en enkelt maskine, der fortroligt indikerer en computer infektion.
BEMÆRK at Carbanak sprøjter sig selv i processen med svchost.exe. Det lykkes også i skjul sin tilstedeværelse i hukommelsen.
Carbanak er også designet til at bruge plugins. De er installeret med hjælp af Carbanak protokol og kommunikere med et hårdt kodet IP-adresse over TCP port 443. De plugins held downloadet under analysen af CSI holdet var wi.exe og klgconfig.plug.
Forskelle mellem den gamle og den nye version af Carbanak er:
- tilføjes nye mål.
- En ny proprietær protokol bruges.
- Tilfældige filer og mutexes anvendes.
- Foruddefinerede IP-adresser bruges, i stedet for domæner.
Disse forskelle til side, binære filer i begge versioner er næsten den samme. Interessant nok, kommando og kontrol-server for den nye prøve kan være knyttet til en velkendt skudsikker hosting virksomhed.
Carbanak New Digital Signatur
Som allerede nævnt, den nye Carbanak er digitalt signeret med Comodo. Denne kendsgerning kan føre til flere konklusioner. Først og fremmest, rummet mellem de tidspunkter, hvor selskabet blev registreret, og et certifikat udstedt kan indikere, at cyber skurke sandsynligvis registreret deres egen virksomhed. For at gøre dette, de kan have brugt stjålne identitet eller falske dokumenter.
En anden forklaring er, at hacking holdet har indspillet en rigtig virksomhed i stedet for at ansætte en stjålet certifikat (som med den gamle version). Grunden selskabet blev oprettet i første omgang kan være at modtage penge fra forfalskede transaktioner. Som tidligere bemærket af Kaspersky, Carbanak transaktioner er ganske betydelig og har brug for fuld kontrol over overførslen.
Globale finansielle organisationer, især dem der ligger i Europa eller USA, kan være i stor fare, da Carbanak virker på en strengt målrettet. Endvidere, det kan forblive ubemærket, fordi det bliver indsat i mindre mængder. Derudover, der kan være endnu flere nye varianter af Carbanak planlægger at angribe big business.