Обнаружен новый вариант банковского трояна Carbanak

Эксперты датской ИБ-компании CSIS обнаружили новый вариант печально известного банковского трояна Carbanak, который теперь имеет цифровую подпись и использует собственный проприетарный протокол передачи данных.

По данным экспертов «Лаборатории Касперского», Carbanak используется уже в течение нескольких лет. В феврале текущего года ЛК раскрыла подробности о масштабной кампании с использованием этого трояна, стоившей банкам $1 млрд. Атака была нацелена непосредственно на финансовые организации, а не на конечных пользователей.

Инфицирование системы начиналось с получения жертвой фишингового письма с вредоносным вложением. После установки Carbanak предоставлял злоумышленникам полный контроль над компьютером, что позволяло им проникать в банковские сети и похищать средства несколькими способами.

Особенностью Carbanak является то, что для заражения системы не имеет значения, на каком программном обеспечении она работает. Даже если ПО уникальное, троян все равно проникает в сети, и хакеру даже не нужно взламывать сервисы банка. Попав в сеть, Carbanak эффективно маскирует вредоносную активность за легитимными действиями.

По словам экспертов CSIS, теперь новый вариант трояна получил несколько уникальных характеристик. Папка, в которую Carbanak инсталлирует себя, а также имя файла являются статическими. Для сокрытия себя вредоносное ПО внедряется в процесс svchost.exe.

Подобно другим похищающим средства вредоносам, Carbanak использует плагины, которые устанавливаются по собственному протоколу, а передача данных осуществляется с жестко закодированного IP-адреса через TCP-порт 443. В ходе исследования эксперты загрузили вредоносные плагины wi.exe и klgconfig.plug.

Обнаруженная на образцах Carbanak цифровая подпись принадлежит Comodo, а сертификат выдан компании в Москве.