Новые варианты «легендарного» банковского трояна Carbanak появились в интернете, свежие экземпляры выявлены пока в Европе и Соединенных Штатах. Теперь он имеет «проприетарный протокол связи», и все обнаруженные до сих пор версии обладают цифровой подписью, об этом сообщил Threatpost в начале месяца.
Ограбление века
После открытия в начале года Carbanak окрестили первой чисто криминальной APT. Это была (и есть) ультрамасштабная кампания по хищению денег, направленная непосредственно против банков. Общие потери от нее составили до $1 млрд в феврале. И если предположить, что кампания по-прежнему активна, ущерб может быть значительно больше.
На данный момент Carbanak является самой успешной криминальной киберкампанией за всю историю.
Carbanak в развитии: обнаружены новые версии #CarbanakAPT
Подробные описания кампании читайте в нашей февральской статье и на Securelist. На текущий момент мы обновили лишь пару деталей:
- Carbanak нацелен непосредственно на банки; банковские работники «получают» фишинговые письма, вследствие чего устанавливается бэкдор; затем преступники ищут «соответствующие» компьютеры, например, машины администраторов, для того чтобы взломать их и украсть деньги.
- Без действий вручную также не обходится. Злоумышленники изучали инфраструктуру банков; задействовали «денежных мулов» для сбора денег из скомпрометированных банкоматов (мулам не требовалось взаимодействовать с банкоматом самим, достаточно лишь было прийти к нему в нужное время).
В целом, по словам Сергея Голованова, ведущего эксперта Центра глобальных исследований и анализа «Лаборатории Касперского», преступникам даже не нужно взламывать сервисы банков: проникнув в сеть, они понимали, как замаскировать свои вредоносные планы законными действиями. Это очень ловкий и профессиональный киберграбёж».
Новая угроза
Новые версии Carbanak, обнаруженные за последнее время, как говорят, обладают некоторыми уникальными характеристиками. Вредоносная программа внедряется в процесс svchost.exe, чтобы скрыть своё присутствие. Однако папка, в которую Carbanak устанавливается, и используемое при этом имя файла статичны.
Tweet
#CarbanakAPT — самая успешная криминальная киберкампания за всю историю. Ничего удивительного в её развитии нет. [/ Twitter_pullquote]
Carbanak также использует плагины, которые устанавливаются по собственному протоколу Carbanak. После этого они поддерживают связь с жёстко прописанным IP-адресом.
Выявленные подписи были выпущены Comodo для компании из Москвы.
Фирменный протокол?
Собственный протокол связи Carbanak — нечто из ряда вон выходящее, зато довольно хорошо согласуется с современными тенденциями развития вредоносных программ. Всё, что работает, продолжает развиваться. И, безусловно, Carbanak проявил себя достаточно хорошо, чтобы поддерживать его активную разработку.
Несколько общих рекомендаций по безопасности:
- Не открывайте подозрительные электронные письма, особенно с вложениями;
- Регулярно обновляйте программное обеспечение, чтобы не стать жертвой эксплойтов для уже исправленных уязвимостей.
Все корпоративные продукты и решения «Лаборатории Касперского» обнаруживают и блокируют известные версии Carbanak.
Советы