O infame Carbanak Banking Trojan que roubou mais de $1 bilhões de organizações financeiras globais é ativa, mais uma vez. pesquisadores de segurança da Csis.dk conseguiram isolar um binário assinado que mais tarde acabou por ser uma nova amostra de Carbanak, também conhecido como Anunak.
Carbanak é um verdadeiro pesadelo para os bancos. A Kaspersky Lab apelidou o ataque Carbanak de "o grande assalto a banco". A análise feita por especialistas da Kaspersky e Csis revelou que o Trojan voltou e atualmente tem como alvo corporações na Europa e nos Estados Unidos. Os ataques são iniciados por meio de golpes de phishing.
O VirusTotal analisou um arquivo malicioso associado ao Carbanak. Ter um olhar para o Relatório de varredura Carbanak.
O que há de novo com a nova variante Carbanak?
Um dos fatos fascinantes sobre Carbanak 2.0 é o fato de ser digitalmente assinado. Isso foi encontrado em um Windows afetado 7 sistema no seguinte local:
→
C://Programa // DataMozilla // svchost.exe. Localização no Windows XP: C://Documentos e configurações // Todos os usuários // Dados do aplicativo // Mozillasvchost.exe
Ele também adiciona uma chave de execução ao registro para garantir que o código seja executado quando o sistema for reiniciado.
Pesquisadores CSIS confirme se a pasta e o arquivo são estáticos e podem ser empregados como um indicador de comprometimento. Um indicador de comprometimento é um artefato localizado em uma rede ou em uma única máquina que indica confidencialmente uma infecção no computador.
NOTA que Carbanak se injeta no processo de svchost.exe. Ele também consegue esconder sua presença na memória.
Carbanak também é projetado para usar plug-ins. Eles são instalados com a ajuda do protocolo de Carbanak e se comunicam com um endereço IP codificado na porta TCP 443. Os plug-ins baixados com sucesso durante a análise da equipe Csis foram wi.exe e klgconfig.plug.
As diferenças entre a antiga e a nova versão do Carbanak são:
- Novos alvos são adicionados.
- Um novo protocolo proprietário é usado.
- Arquivos aleatórios e mutexes são usados.
- Endereços IP predefinidos são usados, em vez de domínios.
Deixando essas diferenças de lado, os binários de ambas as versões são quase os mesmos. Interessantemente suficiente, o servidor de comando e controle da nova amostra pode ser vinculado a uma empresa familiar de hospedagem à prova de balas.
Nova Assinatura Digital de Carbanak
Como já foi dito, o novo Carbanak é assinado digitalmente usando Comodo. Este fato pode trazer várias conclusões. Em primeiro lugar, o espaço entre as datas em que a empresa foi registrada, e um certificado foi emitido pode indicar que os cibercriminosos provavelmente registraram sua própria empresa. Fazer isso, eles podem ter usado identidade roubada ou documentos falsos.
Outra explicação é que a equipe de hackers gravou uma empresa real em vez de empregar um certificado roubado (como com a versão antiga). A razão pela qual a empresa foi criada em primeiro lugar pode ser para receber dinheiro de transações falsas. Conforme observado anteriormente pela Kaspersky, As transações Carbanak são bastante significativas e precisam de controle total sobre o processo de transferência.
Organizações financeiras globais, especialmente os localizados na Europa ou nos EUA, pode estar em grande perigo, já que Carbanak age de maneira estritamente direcionada. além disso, pode passar despercebido porque está sendo implantado em pequenos números. Além disso, pode haver ainda mais novas variantes de Carbanak planejando atacar grandes empresas.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: