De beruchte Carbanak Banking Trojan dat er meer gestolen dan $1 miljard van de wereldwijde financiële organisaties actief weer. Security onderzoekers van Csis.dk geslaagd om een ondertekende binaire die later bleek een nieuwe steekproef van Carbanak te isoleren, ook wel bekend als Anunak.
Carbanak is een ware nachtmerrie voor banken. Kaspersky Lab wel de Carbanak attack 'de grote bankoverval'. Analyse uitgevoerd door specialisten van Kaspersky en CSIS bleek dat de Trojan is teruggekeerd en is momenteel gericht op bedrijven in Europa en de Verenigde Staten. De aanvallen worden geïnitieerd via phishing.
VirusTotal heeft een kwaadaardig bestand in verband met Carbanak geanalyseerd. Neem een kijkje op de Carbanak scanrapport.
Wat is nieuw bij de New Carbanak Variant?
Een van de fascinerende feiten over Carbanak 2.0 is dat het digitaal is ondertekend. Deze werd gevonden op een getroffen Windows 7 systeem op de volgende locatie:
→
C://Programma // // DataMozilla svchost.exe. Ligging op Windows XP: C://Documents and Settings // All Users // Application Data // Mozillasvchost.exe
Het voegt ook een runkey om het register om ervoor te zorgen dat de code wordt uitgevoerd wanneer het systeem opnieuw wordt opgestart.
CSIS onderzoekers bevestigen dat de map en het bestand om statische en kan worden gebruikt als een indicator van het compromis. Een indicator van het compromis is een artefact zich op een netwerk of op een enkele machine die vertrouwelijk duidt op een computer infectie.
NOTE dat Carbanak injecteert zichzelf in het proces van svchost.exe. Het slaagt er ook in het verbergen van haar aanwezigheid in het geheugen.
Carbanak is ook ontworpen om plugins te gebruiken. Ze worden geïnstalleerd met behulp van protocol Carbanak en communiceren met een hard gecodeerde IP-adres via TCP poort 443. De plugins gedownload tijdens de analyse van het CSIS team waren wi.exe en klgconfig.plug.
Verschillen tussen de oude en de nieuwe versie van zijn Carbanak:
- Nieuwe doelen worden toegevoegd.
- Een nieuwe eigen protocol wordt gebruikt.
- Willekeurige bestanden en mutexes worden gebruikt.
- Vooraf gedefinieerde IP-adressen worden gebruikt, plaats domeinen.
Deze verschillen opzij, de binaire bestanden van beide versies vrijwel gelijk. Interessant genoeg, de command and control server van het nieuwe monster kan worden gekoppeld aan een bekende kogelvrije hosting onderneming.
Carbanak Nieuwe digitale handtekening
Zoals reeds gezegd, de nieuwe Carbanak wordt digitaal ondertekend met behulp van Comodo. Dit feit kan leiden tot een aantal conclusies. Allereerst, de ruimte tussen de datum waarop het bedrijf werd ingeschreven, en een certificaat is afgegeven, kan dat wijzen op cyber boeven hoogstwaarschijnlijk geregistreerde hun eigen bedrijf. Om dat te doen, zij kunnen gestolen identiteit of valse documenten heeft gebruikt.
Een andere verklaring is dat de hacking team heeft opgenomen een echt bedrijf in plaats van het gebruik van een gestolen certificaat (als de oude versie). De reden dat het bedrijf werd opgericht in de eerste plaats kan zijn om geld te ontvangen van vervalste transacties. Zoals eerder opgemerkt door Kaspersky, Carbanak transacties zijn vrij groot en volledige controle over het proces van overdracht nodig.
Wereldwijde financiële organisaties, vooral degenen die zich in Europa of de VS., kan in groot gevaar, omdat Carbanak handelt in een strikt doelgericht. Bovendien, kan onopgemerkt blijven omdat het wordt ingezet in kleine aantallen. Bovendien, er kunnen nog meer nieuwe varianten van Carbanak plan om big business te vallen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: