を盗んだ悪名高いCarbanakBankingトロイの木馬 $1 世界の金融機関からの10億人が再び活動しています. Csis.dkのセキュリティ研究者は、署名されたバイナリを分離することに成功しました。このバイナリは、後でCarbanakの新しいサンプルであることが判明しました。, アヌナックとしても知られています.
Carbanakは銀行にとって真の悪夢です. KasperskyLabはCarbanak攻撃を「大銀行強盗」と呼んだ. KasperskyとCsisの専門家が行った分析により、トロイの木馬が戻ってきて、現在ヨーロッパと米国の企業を標的にしていることが明らかになりました。. 攻撃はフィッシング詐欺によって開始されます.
VirusTotalは、Carbanakに関連する悪意のあるファイルを分析しました. を見てください Carbanakスキャンレポート.
新しいCarbanakバリアントの新機能?
カーバナックについての魅力的な事実の1つ 2.0 それがデジタル署名されているという事実です. これは影響を受けたWindowsで見つかりました 7 次の場所にあるシステム:
→
C://Program // DataMozilla // svchost.exe. WindowsXPでの場所: C://ドキュメントと設定//すべてのユーザー//アプリケーションデータ//Mozillasvchost.exe
また、レジストリにランキーを追加して、システムの再起動時にコードが確実に実行されるようにします。.
CSIS研究者 フォルダとファイルの両方が静的であり、侵入の痕跡として使用できることを確認します. 侵入の痕跡は、ネットワーク上または単一のマシン上にあるアーティファクトであり、コンピューターの感染を秘密裏に示します。.
ノート Carbanakがのプロセスに自分自身を注入すること svchost.exe. また、メモリ内にその存在を隠すことに成功します.
Carbanakはプラグインを使用するようにも設計されています. それらはCarbanakのプロトコルの助けを借りてインストールされ、TCPポートを介してハードコードされたIPアドレスと通信します 443. Csisチームの分析中に正常にダウンロードされたプラグインは、wi.exeとklgconfig.plugでした。.
Carbanakの古いバージョンと新しいバージョンの違いは次のとおりです。:
- 新しいターゲットが追加されます.
- 新しい独自のプロトコルが使用されます.
- ランダムファイルとミューテックスが使用されます.
- 事前定義されたIPアドレスが使用されます, ドメインの代わりに.
これらの違いはさておき, 両方のバージョンのバイナリはほぼ同じです. 大変興味深いことに, 新しいサンプルのコマンドアンドコントロールサーバーは、おなじみの防弾ホスティング企業にリンクできます.
Carbanakの新しいデジタル署名
すでに述べたように, 新しいCarbanakはComodoを使用してデジタル署名されています. この事実はいくつかの結論をもたらす可能性があります. 初めに, 会社が登録された日付の間のスペース, 証明書が発行されたことは、サイバー詐欺師が自分の会社を登録した可能性が高いことを示している可能性があります. それをするために, 盗まれた身元や偽造文書を使用した可能性があります.
別の説明は、ハッキングチームが盗まれた証明書を使用する代わりに実際の会社を記録したということです (古いバージョンと同じように). そもそも会社ができたのは、偽造取引からお金を受け取るためかもしれません。. カスペルスキーが以前に指摘したように, Carbanakトランザクションは非常に重要であり、転送プロセスを完全に制御する必要があります.
グローバル金融機関, 特にヨーロッパやアメリカにあるもの, Carbanakは厳密に対象を絞った方法で行動するため、大きな危険にさらされる可能性があります. さらに, 少数で展開されているため、見過ごされ続ける可能性があります. さらに, 大企業を攻撃することを計画しているCarbanakのさらに多くの新しい変種があるかもしれません.