Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Wyciekły źródła popularnego trojana bankowego

26 czerwca 2013, 16:33 | Aktualności | komentarzy 7

Kompletne źródła popularnego trojana bankowego Carberp zostały upublicznione w Internecie. Fakt ten jest interesujący z co najmniej kilku powodów, spójrzmy więc na szczegóły tej niecodziennej sytuacji.

Carberp to trojan specjalizujący się w wykradaniu poświadczeń bankowych oraz danych kartowych. Masowe infekowanie internautów odbywa się zazwyczaj za pomocą exploit kitów zainstalowanych na złośliwych stronach internetowych (atak typu drive-by download), a po infekcji do ukrycia własnej obecności Carberp korzysta z technik typowych dla rootkitów.

Po zasiedleniu się w systemie właściwe wykradanie danych odbywa się za pomocą techniki Man-in-the-Browser, a wszystkie zebrane dane są przekazywane do centralnych serwerów C&C. Carberp może być również wykorzystywany do zdalnego kontrolowania zainfekowanych komputerów poprzez pobieranie zadań wystawionych na serwerze C&C (z lokalizacji <domain>/set/task.html), a nawet nawiązywanie sesji VNC z ofiarą.

Carberp -- moduł Config Builder

Carberp — moduł Config Builder

Carberp ma budową modularną, co oznacza, że może w dowolnym momencie pobierać oraz uruchamiać dodatkowe moduły, takie jak np. moduł wyłączający oprogramowanie antywirusowe (stopav.plug), czy tez moduł usuwający konkurencję (inny malware) z systemu — miniav.plug.

Czarnorynkowa cena jednej licencji pakietu Carberp osiągała nawet 40 tys. USD. Wyciek oznacza jednak, że obecnie przestępcy internetowi będą mogli do woli korzystać z darmowego źródła złośliwego oprogramowania. Co więcej, prawdopodobnie powstaną teraz modyfikacje, które będą dystrybuowane na czarnym rynku pod innymi nazwami. Taka sytuacja miała już miejsce w 2011 roku po wycieku kodów ZeuSa, kiedy to na nielegalnym rynku zaczęły się pojawiać jego klony dystrybuowane jako IceIX i Citadel.

Za "licencję" trzeba było zapłacić 40 tys. USD!

Za „licencję” trzeba było zapłacić 40 tys. USD!
źródło: http://grahamcluley.com/

Oczywiście wyciek źródeł Carberpa nie oznacza jedynie nowych możliwości darmowego zarobku dla komputerowych przestępców. Jest to również bardzo interesująca okazja dla wszystkich zainteresowanych analizą złośliwego oprogramowania oraz metodami działania komputerowych grup przestępczych.

– Wojciech Smol, (wojciech.smol<at>sekurak.pl)

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Czy zostało to zgłoszone na policję? Jest już prowadzone jakieś śledztwo w tej sprawie?

    Odpowiedz
    • guzik,
      Nie mam takich informacji, ale nie sądzę, żeby akurat w kwestii samego wycieku miało być prowadzone jakieś oficjalne śledztwo.

      Odpowiedz
  2. sig

    Śledztwo jak najbardziej powinno być, tyle że z ramienia „obrońców” praw autorskich. Przecież ten kod ktoś stworzył a teraz został nielegalnie upubliczniony ;)

    Odpowiedz
  3. Damian

    github ?

    Odpowiedz
  4. Piotruś87

    Dokładnie. Przecież to zwykłe okradanie twórcy tego programu :->

    Odpowiedz
    • Piotruś87,
      Żartujemy tu sobie, tymczasem „twórcy” rzeczywiście aktywnie walczą z tego typu „piractwem”.

      Internetowa mafia, co ciekawe, niechętnie patrzy na komputerowych piratów, wprowadzając przeróżne mechanizmy zapobiegające nielegalnemu (sic!) powielaniu własnych pakietów. Spotykane są nawet zaawansowane mechanizmy aktywacyjne, stworzone na wzór tych znanych z produktów firmy Microsoft. Prawdopodobnie właśnie chęć ochrony własnych rozwiązań przed niekontrolowanym powielaniem spowodowała, że w ostatno twórcy exploit kitów rozpoczęli dystrybuowanie swych produktów w modelu exploit-as-a-service.

      Odpowiedz
  5. marek
    Odpowiedz

Odpowiedz