News

Nuove versioni del malware Carbanak attaccano obiettivi situati negli USA e in Europa

Sono recentemente comparse, sul territorio di Stati Uniti ed Europa Occidentale, nuove varianti del famigerato malware utilizzato dal gruppo Carbanak per condurre attacchi nei confronti di organizzazioni finanziarie. Secondo i ricercatori danesi del CSIS, il malware in questione è ormai dotato di un protocollo di comunicazione proprietario, ed ha persino iniziato a far uso della firma digitale.

La backdoor denominata Carbanak, software nocivo di evidente natura mirata, è presente sulla scena del malware già da vari anni. Ricordiamo, a tal proposito, che i ricercatori di Kaspersky Lab, all’inizio dell’anno in corso, hanno svelato i dettagli di un’estesa campagna condotta dal gruppo omonimo, nel corso della quale è stato complessivamente sottratto, dagli istituti bancari colpiti, un importo pari, all’incirca, ad 1 miliardo di dollari USA. Nella circostanza, i malintenzionati hanno preso di mira direttamente le banche, non gli utenti finali. L’attacco era solito iniziare con l’invio di apposite e-mail di spear phishing, provviste di un allegato dannoso contenente la backdoor Carbanak. Una volta insediatosi all’interno del computer-vittima, Carbanak consente agli attacker di assumere da remoto il controllo dello stesso; i malfattori utilizzano poi tale accesso per penetrare ulteriormente all’interno della rete informatica della banca e realizzare, quindi, il furto di cospicue somme di denaro, in molti modi diversi.

“Queste rapine bancarie si differenziano considerevolmente dalle altre, in quanto i cybercriminali hanno fatto ricorso a particolari metodi che hanno permesso loro di non dipendere in alcun modo dal software utilizzato dalla banca, anche nel caso specifico in cui si trattava di software unico. Nell’occasione, gli attaccanti non hanno dovuto nemmeno hackerare i servizi delle banche. Essi sono semplicemente penetrati all’interno del network aziendale ed hanno rapidamente “imparato” il modo di mascherare le loro trame fraudolente sotto forma di attività apparentemente legittime. Si è trattato di un genere di cyber-rapina particolarmente astuto e professionale” — ha dichiarato Sergey Golovanov, Principal Security Researcher presso il Global Research & Analysis Team (GReAT) di Kaspersky Lab, quando, nello scorso mese di febbraio, è stato pubblicato l’apposito report su Carbanak.

I ricercatori della società danese CSIS, specializzata in sicurezza IT, hanno recentemente individuato nuove varianti di Carbanak, dotate di caratteristiche uniche. Essi affermano, ad esempio, che la cartella in cui si installa la backdoor, così come il nome del file utilizzato dal malware in causa, sono entrambi statici. Per nascondere la propria presenza, il “nuovo” Carbanak si introduce nel processo svchost.exe.

“Proprio di recente, CSIS ha condotto un’analisi di tipo forense riguardo al tentativo di esecuzione di transazioni bancarie online di natura fraudolenta mediante la compromissione di un client Microsoft Windows, – scrive Peter Kruse sul blog della società danese. – Nel corso dell’indagine svolta siamo stati in grado di isolare un file binario provvisto di firma, il quale è stato da noi successivamente identificato come un nuovo sample di Carbanak”.

“Al pari di numerose altre minacce avanzate, capaci di realizzare il furto dei dati, anche Carbanak fa uso di plugin, – rileva inoltre l’esperto. – I plugin vengono installati tramite il protocollo proprietario di cui è dotato il suddetto malware, e comunicano con un indirizzo IP hardcoded, utilizzando la porta TCP 443. I due plugin dei quali è stato effettuato il download nel corso della nostra analisi erano denominati ‘wi.exe’ e ‘klgconfig.plug'”.

La firma digitale rilevata nei sample esaminati dalla società CSIS era del gruppo Comodo, mentre il certificato risultava essere stato emesso per una società di Mosca. Secondo quanto asserisce Kruse, le nuove varianti di Carbanak sono specificamente rivolte a target statunitensi ed europei.

“Carbanak, in sostanza, è ciò che noi definiamo con l’espressione ‘APT finanziaria’, – precisa l’esperto danese. – Si tratta di una minaccia di natura estremamente mirata; la sua diffusione, peraltro, è molto limitata. Di conseguenza, risulta particolarmente complicato effettuarne il rilevamento. Sono state da noi individuate almeno quattro diverse varianti di Carbanak, preposte ad attaccare personalità finanziarie di alto profilo, operanti presso corporation internazionali di primaria importanza”.

Fonte: Threatpost

Nuove versioni del malware Carbanak attaccano obiettivi situati negli USA e in Europa

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox