Nuove versioni del malware Carbanak attaccano obiettivi situati negli USA e in Europa

Sono recentemente comparse, sul territorio di Stati Uniti ed Europa Occidentale, nuove varianti del famigerato malware utilizzato dal gruppo Carbanak per condurre attacchi nei confronti di organizzazioni finanziarie. Secondo i ricercatori danesi del CSIS, il malware in questione è ormai dotato di un protocollo di comunicazione proprietario, ed ha persino iniziato a far uso della firma digitale.

La backdoor denominata Carbanak, software nocivo di evidente natura mirata, è presente sulla scena del malware già da vari anni. Ricordiamo, a tal proposito, che i ricercatori di Kaspersky Lab, all’inizio dell’anno in corso, hanno svelato i dettagli di un’estesa campagna condotta dal gruppo omonimo, nel corso della quale è stato complessivamente sottratto, dagli istituti bancari colpiti, un importo pari, all’incirca, ad 1 miliardo di dollari USA. Nella circostanza, i malintenzionati hanno preso di mira direttamente le banche, non gli utenti finali. L’attacco era solito iniziare con l’invio di apposite e-mail di spear phishing, provviste di un allegato dannoso contenente la backdoor Carbanak. Una volta insediatosi all’interno del computer-vittima, Carbanak consente agli attacker di assumere da remoto il controllo dello stesso; i malfattori utilizzano poi tale accesso per penetrare ulteriormente all’interno della rete informatica della banca e realizzare, quindi, il furto di cospicue somme di denaro, in molti modi diversi.

“Queste rapine bancarie si differenziano considerevolmente dalle altre, in quanto i cybercriminali hanno fatto ricorso a particolari metodi che hanno permesso loro di non dipendere in alcun modo dal software utilizzato dalla banca, anche nel caso specifico in cui si trattava di software unico. Nell’occasione, gli attaccanti non hanno dovuto nemmeno hackerare i servizi delle banche. Essi sono semplicemente penetrati all’interno del network aziendale ed hanno rapidamente “imparato” il modo di mascherare le loro trame fraudolente sotto forma di attività apparentemente legittime. Si è trattato di un genere di cyber-rapina particolarmente astuto e professionale” — ha dichiarato Sergey Golovanov, Principal Security Researcher presso il Global Research & Analysis Team (GReAT) di Kaspersky Lab, quando, nello scorso mese di febbraio, è stato pubblicato l’apposito report su Carbanak.

I ricercatori della società danese CSIS, specializzata in sicurezza IT, hanno recentemente individuato nuove varianti di Carbanak, dotate di caratteristiche uniche. Essi affermano, ad esempio, che la cartella in cui si installa la backdoor, così come il nome del file utilizzato dal malware in causa, sono entrambi statici. Per nascondere la propria presenza, il “nuovo” Carbanak si introduce nel processo svchost.exe.

“Proprio di recente, CSIS ha condotto un’analisi di tipo forense riguardo al tentativo di esecuzione di transazioni bancarie online di natura fraudolenta mediante la compromissione di un client Microsoft Windows, – scrive Peter Kruse sul blog della società danese. – Nel corso dell’indagine svolta siamo stati in grado di isolare un file binario provvisto di firma, il quale è stato da noi successivamente identificato come un nuovo sample di Carbanak”.

“Al pari di numerose altre minacce avanzate, capaci di realizzare il furto dei dati, anche Carbanak fa uso di plugin, – rileva inoltre l’esperto. – I plugin vengono installati tramite il protocollo proprietario di cui è dotato il suddetto malware, e comunicano con un indirizzo IP hardcoded, utilizzando la porta TCP 443. I due plugin dei quali è stato effettuato il download nel corso della nostra analisi erano denominati ‘wi.exe’ e ‘klgconfig.plug'”.

La firma digitale rilevata nei sample esaminati dalla società CSIS era del gruppo Comodo, mentre il certificato risultava essere stato emesso per una società di Mosca. Secondo quanto asserisce Kruse, le nuove varianti di Carbanak sono specificamente rivolte a target statunitensi ed europei.

“Carbanak, in sostanza, è ciò che noi definiamo con l’espressione ‘APT finanziaria’, – precisa l’esperto danese. – Si tratta di una minaccia di natura estremamente mirata; la sua diffusione, peraltro, è molto limitata. Di conseguenza, risulta particolarmente complicato effettuarne il rilevamento. Sono state da noi individuate almeno quattro diverse varianti di Carbanak, preposte ad attaccare personalità finanziarie di alto profilo, operanti presso corporation internazionali di primaria importanza”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *