CYBER NEWS

Carbanak Novas Versões alvo Europa e EUA

O infame Carbanak Banking Trojan que roubou mais de $1 bilhões de organizações financeiras globais é ativa, mais uma vez. pesquisadores de segurança da Csis.dk conseguiram isolar um binário assinado que mais tarde acabou por ser uma nova amostra de Carbanak, também conhecido como Anunak.

Carbanak é um verdadeiro pesadelo para os bancos. A Kaspersky Lab apelidou o ataque Carbanak de "o grande assalto a banco". A análise feita por especialistas da Kaspersky e Csis revelou que o Trojan voltou e atualmente tem como alvo corporações na Europa e nos Estados Unidos. Os ataques são iniciados por meio de golpes de phishing.




O VirusTotal analisou um arquivo malicioso associado ao Carbanak. Ter um olhar para o Relatório de varredura Carbanak.

O que há de novo com a nova variante Carbanak?

Um dos fatos fascinantes sobre Carbanak 2.0 é o fato de ser digitalmente assinado. Isso foi encontrado em um Windows afetado 7 sistema no seguinte local:


C://Programa // DataMozilla // svchost.exe. Localização no Windows XP: C://Documentos e configurações // Todos os usuários // Dados do aplicativo // Mozillasvchost.exe

Ele também adiciona uma chave de execução ao registro para garantir que o código seja executado quando o sistema for reiniciado.

Pesquisadores CSIS confirme se a pasta e o arquivo são estáticos e podem ser empregados como um indicador de comprometimento. Um indicador de comprometimento é um artefato localizado em uma rede ou em uma única máquina que indica confidencialmente uma infecção no computador.

NOTA que Carbanak se injeta no processo de svchost.exe. Ele também consegue esconder sua presença na memória.

Carbanak também é projetado para usar plug-ins. Eles são instalados com a ajuda do protocolo de Carbanak e se comunicam com um endereço IP codificado na porta TCP 443. Os plug-ins baixados com sucesso durante a análise da equipe Csis foram wi.exe e klgconfig.plug.

As diferenças entre a antiga e a nova versão do Carbanak são:

  • Novos alvos são adicionados.
  • Um novo protocolo proprietário é usado.
  • Arquivos aleatórios e mutexes são usados.
  • Endereços IP predefinidos são usados, em vez de domínios.

Deixando essas diferenças de lado, os binários de ambas as versões são quase os mesmos. Interessantemente suficiente, o servidor de comando e controle da nova amostra pode ser vinculado a uma empresa familiar de hospedagem à prova de balas.

Nova Assinatura Digital de Carbanak

Como já foi dito, o novo Carbanak é assinado digitalmente usando Comodo. Este fato pode trazer várias conclusões. Em primeiro lugar, o espaço entre as datas em que a empresa foi registrada, e um certificado foi emitido pode indicar que os cibercriminosos provavelmente registraram sua própria empresa. Fazer isso, eles podem ter usado identidade roubada ou documentos falsos.

Outra explicação é que a equipe de hackers gravou uma empresa real em vez de empregar um certificado roubado (como com a versão antiga). A razão pela qual a empresa foi criada em primeiro lugar pode ser para receber dinheiro de transações falsas. Conforme observado anteriormente pela Kaspersky, As transações Carbanak são bastante significativas e precisam de controle total sobre o processo de transferência.

Organizações financeiras globais, especialmente os localizados na Europa ou nos EUA, pode estar em grande perigo, já que Carbanak age de maneira estritamente direcionada. além disso, pode passar despercebido porque está sendo implantado em pequenos números. Além disso, pode haver ainda mais novas variantes de Carbanak planejando atacar grandes empresas.




Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerenciador de conteúdo que foi com SensorsTechForum desde o início. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

limite de tempo está esgotado. Recarregue CAPTCHA.

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...