Il famigerato Trojan Carbanak Banking che ha rubato più di $1 miliardi da organizzazioni finanziarie globali è attivo ancora una volta. I ricercatori di sicurezza di Csis.dk riusciti a isolare un binario con segno che più tardi si rivelò essere un nuovo campione di Carbanak, noto anche come Anunak.
Carbanak è un vero incubo per le banche. Kaspersky Lab soprannominato l'attacco Carbanak 'la grande rapina in banca'. L'analisi fatta da specialisti di Kaspersky e CSIS ha rivelato che il Trojan è tornato ed è attualmente mira le società in Europa e negli Stati Uniti. Gli attacchi sono iniziati tramite phishing.
VirusTotal ha analizzato un file dannoso associato con Carbanak. Date un'occhiata al rapporto di scansione Carbanak.
Cosa c'è di nuovo con la nuova variante Carbanak?
Uno dei fatti interessanti su Carbanak 2.0 è il fatto che è firmato digitalmente. Questo è stato trovato su un Windows interessato 7 Sistema al seguente indirizzo:
→
C://Programma // // DataMozilla svchost.exe. Posizione su Windows XP: C://Documents and Settings // // Tutti gli utenti Dati applicazioni // Mozillasvchost.exe
Si aggiunge anche un runkey al Registro di sistema per assicurarsi che il codice viene eseguito quando il sistema viene riavviato.
ricercatori CSIS confermano che la cartella e il file sono statici e possono essere impiegate come un indicatore di compromesso. Un indicatore di compromesso è un artefatto si trova su una rete o su una singola macchina che indica in modo confidenziale una infezione del computer.
NOTA che Carbanak si inserisce nel processo di svchost.exe. Riesce anche a nascondere la sua presenza nella memoria.
Carbanak è inoltre progettato per utilizzare i plugin. Essi vengono installati con l'aiuto di protocollo di Carbanak e comunicano con un indirizzo IP codificato duro sulla porta TCP 443. I plugin scaricato con successo durante l'analisi del team di CSI erano wi.exe e klgconfig.plug.
Le differenze tra la vecchia e la nuova versione di Carbanak sono:
- vengono aggiunti nuovi obiettivi.
- Un nuovo protocollo proprietario viene utilizzato.
- Immagini a caso e mutex sono usati.
- Gli indirizzi IP predefiniti vengono utilizzati, invece di domini.
Queste differenze a parte, i binari di entrambe le versioni sono quasi la stessa cosa. È interessante notare che, il server di comando e controllo del nuovo campione può essere collegato a un familiare impresa antiproiettile di hosting.
Firma Nuovo Digital Carbanak
Come già affermato, il nuovo Carbanak è firmato digitalmente utilizzando Comodo. Questo fatto può portare a diverse conclusioni. Prima di tutto, lo spazio tra le date in cui la società è stata registrata, e un certificato è stato emesso potrebbe indicare che il cyber truffatori più probabile registrato la propria azienda. Per fare questo, essi possono essere utilizzati identità rubati o documenti falsi.
Un'altra spiegazione è che il team di hacker ha registrato una vera e propria azienda invece di impiegare un certificato rubato (come con la vecchia versione). Il motivo per cui la società è stata creata, in primo luogo può essere quello di ricevere denaro da operazioni forgiati. Come indicato in precedenza da Kaspersky, transazioni Carbanak sono piuttosto significative e hanno bisogno il pieno controllo del processo di trasferimento.
organizzazioni finanziarie globali, in particolare quelli situati in Europa o negli Stati Uniti, può essere in grave pericolo dal Carbanak agisce in modo strettamente mirato. Inoltre, si può passare inosservato perché viene distribuito in piccole quantità. Inoltre, ci può essere ancora più nuove varianti di pianificazione Carbanak per attaccare le grandi imprese.