Деятельность хакерской группировки Carbanak была раскрыта в феврале текущего года. Следствие показало, что по всему миру злоумышленники нанесли ущерб более 100 организациям, в том числе и в России. Основными мишенями хакеров были в основном крупные финансовые организации, казино и PoS-системы. Общая сумма похищенных средств оценивается экспертами в $1 млрд. После разоблачения злоумышленники Carbanak предпочли затаиться, и до начала лета 2015 года о них ничего не было слышно.
И вот в июне эксперты датской ИБ-компании CSIS, которая участвовала в создании карты киберугроз Global Security Map, зафиксировали в сети новую версию уже знакомого банковского трояна Carbanak. После хакерской модернизации вирус мог свободно проникать в систему за счет наличия цифровой подписи, а также использовать собственный проприетарный протокол передачи данных. Эксперты обнаружили, что цифровая подпись зловреда принадлежит Comodo, а сертификат на него как бы выдавался в Москве…
Вирус Carbanak инфицирует систему по традиционной схеме — через рассылку фишинговых писем, в которых содержатся эксплойты в формате .SCR- или .RTF-файлов. Попав в сеть, Carbanak эффективно маскирует вредоносную активность за легитимными действиями. Для своих целей злоумышленники адаптировали небольшой бэкдор с открытыми исходными текстами под названием Tiny Meterpreter. В него были внесены некоторые изменения для внедрения вредоносного кода в системный процесс svchost.exe.
При самоинсталляции обновленная версия вируса Carbanak, оставляя имена папки и файла статическими, внедряется в системный процесс svchost.exe, что сразу делает его невидимым для антивирусов. Зловред Carbanak также использует плагины, которые устанавливаются по собственному протоколу. При этом передача данных осуществляется с жестко закодированного IP-адреса через TCP-порт 443. Именно через этот бэкдор на диск устанавливаются исполняемые файлы ряда вредоносных программ: контролирующая систему утилита Win32/Spy.Sekur, приложение для кражи конфиденциальных данных карт с PoS-терминалов (PoS RAM Scraper backdoor). Вредонос позволяет также использовать уязвимости пакета Microsoft Office.
Средств эффективного противодействия вредоносу Carbanak пока, к сожалению, нет. И антивирусным компаниям остается лишь в очередной раз повторять пользователям свои рекомендации о соблюдении правил ИБ, недопустимости отключать антивирус и проявлении осторожности при ознакомлении с почтовыми сообщениями, особенно от неизвестных отправителей.
.png)