Aktualisierter Carbanak greift Ziele in den USA und in Europa an

In den USA und in Westeuropa sind neue Varianten einer Schadsoftware auf den Plan getreten, die von der Gruppe Carbanak für Attacken auf Finanzorganisationen eingesetzt wird. Nach Angaben dänischer Forscher hat sich dieser zielgerichtete Schädling ein proprietäres Kommunikationsprotokoll angeeignet und verwendet nun zudem eine digitale Signatur.

Die zielgerichtete Backdoor, die bei Kaspersky Lab Carbanak heißt, wird schon mehrere Jahre von der gleichnamigen Gruppe eingesetzt. Zu Beginn des laufenden Jahres deckten Experten Details einer Schadkampagne größten Ausmaßes auf, die die Banken ungefähr eine Milliarde Dollar kostete. Bemerkenswert ist, dass die Cyberkriminellen, die Banken direkt, und nicht deren Kunden, angriffen. Die Attacke begann mit einer zielgerichteten Phishing-Mail, ausgestattet mit einem Carbanak-Anhang. Nachdem sie sich auf einem kompromittierten Rechner festgesetzt hat, gewährleistet die Backdoor den Angreifern entfernte Kontrolle, die dann wiederum den Zugriff nutzen, um weiter in das Netzwerk der Bank einzudringen und Finanzmittel zu stehlen.

„Dieser Banküberfälle unterscheiden sich von anderen dadurch, dass die Cyberkriminellen Methoden einsetzten, die sie unabhängig von der in der jeweiligen Bank verwendeten Software machten, selbst wenn diese einzigartig war. Die Hacker mussten noch nicht einmal die Services der Banken hacken. Sie drangen einfach ins Unternehmensnetzwerk ein und fanden heraus, wie sich ihre betrügerische Aktivität als legitime Aktion tarnen ließ. Das ist ein wahrhaft professioneller Bankraub“, erklärte Sergey Gologvanov, Senior Malware Analyst bei Kaspersky Lab, in einem Bericht aus dem Februar.

Die Forscher von dem dänischen IT-Sicherheitsunternehmen CSIS entdeckten kürzlich neue Varianten von Carbanak, mit einzigartigen Eigenschaften. Ihrer Aussage zufolge sind das Verzeichnis, in das die Backdoor installiert wird, und der Dateiname statisch. Um seine Anwesenheit zu verbergen, schleust sich der aktualisierte Schädling in den Prozess svchost.exe ein.

„Kürzlich hat CSIS eine forensische Analyse durchgeführt, die den Versuch der Durchführung betrügerischer Banktransaktionen online mittels Kompromittierung eines Microsoft Windows Clients zum Inhalt hat“, schreibt Peter Kruse im Blog des Unternehmens. „Im Laufe der Analyse konnten wir eine signierte Binärdatei isolieren, die in der Folge als neues Carbanak-Sample identifiziert wurde.“

„Wie auch einige andere fortschrittliche Daten stehlende Schädlinge verwendet auch Carbanak Plugins“, fährt der Experte fort. „Die Plugins werden über das eigene Protokoll des Schädlings installiert und sie kommunizieren mit einer im Code festgeschriebenen IP-Adresse über den TCP-Port 443. Die im Laufe der Analyse geladenen Plugins erhielten die Bezeichnungen wi.exe und klgconfig.plug.“

Die von CSIS untersuchten Samples verfügten über eine digitale Signatur von Comodo, und das Zertifikat wurde an eine Firma in Moskau ausgegeben. Laut Aussage von Kruse richtet sich die neue Carbanak-Variante gegen Ziele in Amerika und Europa.

„Wir klassifizieren Carbanak als APT-Finanzschädling“, erläutert der Däne. „Seine Ausrichtung hat zielgerichteten Charakter und seine Verbreitung ist stark eingegrenzt. Das hat zur Folge, dass er ziemlich schwer aufzuspüren ist. Wir haben mindestens vier verschiedene Carbanak-Varianten registriert, die wichtige Finanzexperten in internationalen Großkonzernen angreifen.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.