Carberp木马变种的网银大盗 - APT防御产品

Carberp木马变种的网银大盗

Carberp是一款专门用于盗取银行信息的恶意软件,今年4月份,犯罪份子通过该恶意软件从乌克兰和俄罗斯盗取了大约169万美元,根据乌克兰安全局(SBU)发布公告称,犯罪份子还盗取了一些企业银行账户的钱。


Carberp木马新变种

赛门铁克公司的安全专家在去年12月15日发现了一种恶意活动,该活动中正在散布臭名昭著的Carberp木马的新变种。

自从2013年6月份在地下黑客市场公开Carberp木马的源代码之后,Carberp木马就开始了不断的进化历程。在12月15日,也就是Carberp木马变异之后的第二天,赛门铁克公司研究员们就在一场垃圾邮件风波中发现了该恶意软件,并被命名为Trojan.Carberp.C。

这些垃圾邮件是一个付款提醒,并包含一个伪装成发货单的恶意附件(例如:发货单.[随机数字]_2014.12.11.doc.zip)。木马的植入程序被加了Visual Basic保护壳,并以.ZIP文件作为垃圾邮件的附件。


Carberp.C最初设计时是用来获取网民的网银证书和其他敏感信息,但该新变种包含了一个插件集合,这些插件可以被注入到一个新创建的进程(svchost.exe)中来实现进一步的功能,例如改进的逃避技术。

赛门铁克安全研究人员称:

“该恶意软件也能够下载额外的插件,这些插件可以用来注入到新建的svchost.exe进程中,以此来隐藏该木马。”
研究员们检测到的一个插件能够通过hook API从受害者的Web浏览器中盗取网民敏感数据。这个木马新变种看起来非常高效,它既可以感染32位系统也可以感染64位系统,并包含了针对几种不同架构CPU的插件。

一旦受害者打开该ZIP文档,植入程序将恶意代码注入一个Windows进程,然后根据目标操作系统的类型来选择解密和解压嵌入的32位或64位模块。而当木马进入电脑之后,Carberp.C变种木马就会连接C&C服务器,然后下载更多的Payload并将其载入内存中。

Carberp.C中发现的主要组件有:

MyFault:一个Windows驱动程序,由Sysinternals开发并用于引发系统崩溃。这个模块本身并不是恶意程序,而是用于故障诊断,但是该木马的作者利用该模块实现木马被分析时蓝屏死机。
Downloader:一个Payload静默下载器(被检测为Trojan.Carberp.C)。
Carberp驱动:可以用来杀死进程并将恶意Payload载入到内存,以此来隐藏木马。(被检测为Trojan.Carberp.C)。
木马感染分布

目前,Carberp木马新变种感染主要分布在澳大利亚和美国。




转载请注明出处 APT防御产品 » Carberp木马变种的网银大盗

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址