Povratak bankarskog trojanca Carbanak

Vesti, 07.09.2015, 09:00 AM

Bankarski trojanac Carbanak koga su u februaru ove godine razotkrili stručnjaci ruske kompanije Kaspersky Lab ponovo napada finansijske institucije i kompanije širom sveta.

Carbanak koji je poznat i pod nazivom Anunak je, prema proceni koju su stručnjaci Kaspersky Laba izneli početkom ove godine, omogućio kriminalcima koji stoje iza njega da se infiltriraju u više od 100 finansijskih institucija širom sveta, omogućavajući im kontrolu nad zaraženim računarima i krađu oko milijardu dolara. Sajber kriminalci koriste Carbanak već nekoliko godina i to za napade na banke, umesto kao što je to uobičajeno za bankarske trojance, na klijente banaka.

Napadi trojanca obično počinju spear fišing emailovima sa atačmentima koji kriju Carbanak. Kada kompromituje računar, Carbanak obezbeđuje napadačima daljinsku kontrolu nad računarom koji će kriminalcima potom poslužiti kao uporište u mreži banke. Od tog trenutka kriminalci će početi da kradu novac od banke na različite načine.

Od februara kada su stručnjaci Kaspersky Laba otkrili detalje o operaciji trojanca tokom koje je ukradeno milijardu dolara, Carbanak se sa manjim izmenama sporadično vraćao na scenu.

Sada su istraživači iz danske firme CSIS otkrili novu verziju trojanca, koja napada slične ciljeve.

Nova verzija se razlikuje od prvobitne. Ona koristi prethodno definisanu IP adresu umesto nasumično generisanih domena za komunikaciju sa komandno-kontrolnim serverom, i nasumično generisana imena fajlova, ali i sopstveni protokol za upravljanje pluginovima i internim komunikacijama.

Kao i pre, Carbanak krije inficirani svchost.exe proces, čuvajući svoju modularnu strukturu koja mu omogućava da se prilagodi žrtvama. Carbanak nastavlja da koristi legitimni serifikat da bi izbegao detekciju i to sertifikat koji je izdao Comodo jednoj kompaniji u Moskvi.

Istraživači veruju da su kriminalci koji stoje iza trojanca Carbanak registrovali pravu kompaniju sa jedinom svrhom da ona posluži kao legalna baza za neke od njihovih novčanih transkacija.

Reč je o transferima velikih svota. Stručnjaci misle da su kriminalci morali da registruju firmu i otvore bankovni račun da bi mogli da dobiju ukradeni novac, imajući pri tom potpunu kontrolu nad transakcijama.

Ranije su istraživači kompanije ESET otkrili verziju trojanca koja koristi ukradene sertifikate koji pripadaju moskovskim kompanijama Stroi-Tech, Flash, OOO “Techcom” i Torg-Group.

Ruske veze trojanca su već dobro poznate. To su ranije otkrili istraživači iz kompanije Trend Micro koji su povezali jedan od C&C servera trojanca sa IP adresom koja je u vlasništvu ruske službe bezbednosti (FSB).