Carbanak в развитии: обнаружены новые версии

Бизнес

Новые варианты «легендарного» банковского трояна Carbanak появились в интернете, свежие экземпляры выявлены пока в Европе и Соединенных Штатах. Теперь он имеет «проприетарный протокол связи», и все обнаруженные до сих пор версии обладают цифровой подписью, об этом сообщил Threatpost в начале месяца.

Ограбление века

После открытия в начале года Carbanak окрестили первой чисто криминальной APT. Это была (и есть) ультрамасштабная кампания по хищению денег, направленная непосредственно против банков. Общие потери от нее составили до $1 млрд в феврале. И если предположить, что кампания по-прежнему активна, ущерб может быть значительно больше.

На данный момент Carbanak является самой успешной криминальной киберкампанией за всю историю.

Подробные описания кампании читайте в нашей февральской статье и на Securelist. На текущий момент мы обновили лишь пару деталей:

  1. Carbanak нацелен непосредственно на банки; банковские работники «получают» фишинговые письма, вследствие чего устанавливается бэкдор; затем преступники ищут «соответствующие» компьютеры, например, машины администраторов, для того чтобы взломать их и украсть деньги.
  2. Без действий вручную также не обходится. Злоумышленники изучали инфраструктуру банков; задействовали «денежных мулов» для сбора денег из скомпрометированных банкоматов (мулам не требовалось взаимодействовать с банкоматом самим, достаточно лишь было прийти к нему в нужное время).

В целом, по словам Сергея Голованова, ведущего эксперта Центра глобальных исследований и анализа «Лаборатории Касперского», преступникам даже не нужно взламывать сервисы банков: проникнув в сеть, они понимали, как замаскировать свои вредоносные планы законными действиями. Это очень ловкий и профессиональный киберграбёж».

wide

Новая угроза

Новые версии Carbanak, обнаруженные за последнее время, как говорят, обладают некоторыми уникальными характеристиками. Вредоносная программа внедряется в процесс svchost.exe, чтобы скрыть своё присутствие. Однако папка, в которую Carbanak устанавливается, и используемое при этом имя файла статичны.

#CarbanakAPT — самая успешная криминальная киберкампания за всю историю. Ничего удивительного в её развитии нет. [/ Twitter_pullquote]

Carbanak также использует плагины, которые устанавливаются по собственному протоколу Carbanak. После этого они поддерживают связь с жёстко прописанным IP-адресом.

Выявленные подписи были выпущены Comodo для компании из Москвы.

Фирменный протокол?

Собственный протокол связи Carbanak — нечто из ряда вон выходящее, зато довольно хорошо согласуется с современными тенденциями развития вредоносных программ. Всё, что работает, продолжает развиваться. И, безусловно, Carbanak проявил себя достаточно хорошо, чтобы поддерживать его активную разработку.

Несколько общих рекомендаций по безопасности:

  • Не открывайте подозрительные электронные письма, особенно с вложениями;
  • Регулярно обновляйте программное обеспечение, чтобы не стать жертвой эксплойтов для уже исправленных уязвимостей.

Все корпоративные продукты и решения «Лаборатории Касперского» обнаруживают и блокируют известные версии Carbanak.