網銀大盜:Carberp木馬又出新變種
責編:admin |2015-01-20 13:43:51賽門鐵克公司惡意軟件分析專家最近發現了臭名昭著的網銀大盜Carberp木馬的新變種,該木馬可以盜取網民的網銀證書和敏感數據。
科普:網銀大盜Carberp
Carberp是一款專門用于盜取銀行信息的惡意軟件,今年4月份,犯罪份子通過該惡意軟件從烏克蘭和俄羅斯盜取了大約169萬美元,根據烏克蘭安全局(SBU)發布公告稱,犯罪份子還盜取了一些企業銀行賬戶的錢。《價值50000美元的銀行惡意軟件源碼 – Carberp》
Carberp木馬新變種
賽門鐵克公司的安全專家在去年12月15日發現了一種惡意活動,該活動中正在散布臭名昭著的Carberp木馬的新變種。
自從2013年6月份在地下黑客市場公開Carberp木馬的源代碼之后,Carberp木馬就開始了不斷的進化歷程。在12月15日,也就是Carberp木馬變異之后的第二天,賽門鐵克公司研究員們就在一場垃圾郵件風波中發現了該惡意軟件,并被命名為Trojan.Carberp.C。
這些垃圾郵件是一個付款提醒,并包含一個偽裝成發貨單的惡意附件(例如:發貨單.[隨機數字]_2014.12.11.doc.zip)。木馬的植入程序被加了Visual Basic保護殼,并以.ZIP文件作為垃圾郵件的附件。
Carberp.C最初設計時是用來獲取網民的網銀證書和其他敏感信息,但該新變種包含了一個插件集合,這些插件可以被注入到一個新創建的進程(svchost.exe)中來實現進一步的功能,例如改進的逃避技術。
賽門鐵克安全研究人員稱:
“該惡意軟件也能夠下載額外的插件,這些插件可以用來注入到新建的svchost.exe進程中,以此來隱藏該木馬。”
研究員們檢測到的一個插件能夠通過hook API從受害者的Web瀏覽器中盜取網民敏感數據。這個木馬新變種看起來非常高效,它既可以感染32位系統也可以感染64位系統,并包含了針對幾種不同架構CPU的插件。
一旦受害者打開該ZIP文檔,植入程序將惡意代碼注入一個Windows進程,然后根據目標操作系統的類型來選擇解密和解壓嵌入的32位或64位模塊。而當木馬進入電腦之后,Carberp.C變種木馬就會連接C&C服務器,然后下載更多的Payload并將其載入內存中。
Carberp.C中發現的主要組件有:
MyFault:一個Windows驅動程序,由Sysinternals開發并用于引發系統崩潰。這個模塊本身并不是惡意程序,而是用于故障診斷,但是該木馬的作者利用該模塊實現木馬被分析時藍屏死機。
Downloader:一個Payload靜默下載器(被檢測為Trojan.Carberp.C)。
Carberp驅動:可以用來殺死進程并將惡意Payload載入到內存,以此來隱藏木馬。(被檢測為Trojan.Carberp.C)。