На территории США и Западной Европы объявились новые варианты вредоносного ПО, используемого группой Carbanak для атак на финансовые организации. По свидетельству датских исследователей, этот целевой зловред приобрел проприетарный протокол связи и начал использовать цифровую подпись.

Целевой бэкдор, которого в «Лаборатории Касперского» именуют Carbanak, используется одноименной группой уже несколько лет. В начале текущего года эксперты раскрыли детали крупнейшей зловредной кампании, обошедшейся банкирам примерно в $1 млрд. Примечательно, что злоумышленники атаковали непосредственно банки, а не конечных пользователей. Атака начиналась с целевого фишингового письма, снабженного Carbanak-вложением. Оказавшись на скомпрометированной машине, бэкдор обеспечивает атакующим удаленный контроль, и те используют этот доступ для дальнейшего проникновения в сеть банка и кражи денежных средств.

«Эти ограбления банков отличаются от остальных тем, что киберпреступники применяли такие методы, которые позволяли им не зависеть от используемого в банке ПО, даже если оно было уникальным. Хакерам даже не пришлось взламывать банковские сервисы. Они просто проникали в корпоративную сеть и учились, как можно замаскировать мошеннические действия под легитимные. Это действительно профессиональное ограбление», — пояснил в февральском отчете Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».

Исследователи из датской ИБ-компании CSIS недавно обнаружили новые варианты Carbanak с уникальными свойствами. По их словам, папка, в которую устанавливается бэкдор, и имя файла статичны. Чтобы скрыть свое присутствие, обновленный зловред внедряется в процесс svchost.exe.

«Не так давно CSIS довелось проводить экспертизу по попытке исполнения мошеннических банковских транзакций онлайн посредством компрометации клиента Microsoft Windows, — пишет Петер Крусе (Peter Kruse) в блоге компании. — В ходе анализа нам удалось изолировать подписанный бинарник, который был впоследствии идентифицирован как новый сэмпл Carbanak».

«Как и некоторые другие продвинутые похитители данных, Carbanak использует плагины, — отмечает далее эксперт. — Плагины устанавливаются по собственному протоколу зловреда и связываются с прописанным в коде IP-адресом, используя TCP-порт 443. Загруженные в ходе анализа плагины именовались wi.exe и klgconfig.plug».

Рассмотренные CSIS сэмплы имели цифровую подпись Comodo, а сертификат был выдан некоей московской компании. По свидетельству Крусе, новые варианты Carbanak нацелены на американские и европейские мишени.

«Carbanak мы классифицируем как финансового APT-зловреда, — поясняет датчанин. — Его назначение носит целевой характер, а распространение сильно ограничено. В результате его довольно сложно обнаружить. Мы зафиксировали как минимум четыре разных варианта Carbanak, атакующих ключевых финансистов крупных международных корпораций».

Категории: Аналитика, Вредоносные программы, Главное