Malware
Konsequenzen aus dem Leak des Carbanak Backdoors
Kürzlich wurde bekannt, dass der Sourcecode der berüchtigten Carbanak-Hintertür auf der VirusTotal-Plattform gefunden wurde. Was bedeutet das Leaken des Quellcodes für Nutzer und Unternehmen?
Save to Folio
Originalartikel von Trend Micro
Kürzlich wurde bekannt, dass der Sourcecode der berüchtigten Carbanak-Hintertür auf der VirusTotal-Plattform gefunden wurde. Die Sicherheitsforscher von Fireeye, veröffentlichten eine Analyse der Schadsoftware, die mit mehreren großen Dateneinbrüchen iin Verbindung gebracht wird. Die Analyse zeigt vor allem die ausgebuffte Art, in der die Malware sich über Verschleierung der Erkennung entzieht. Doch was bedeutet das Leaken des Quellcodes für Nutzer und Unternehmen?
Was ist Carbanak?
Carbanak war einer der Backdoors, die die cyberkriminelle Gruppe FIN7 (auch JokerStash, Carbanak und Anunak) gegen ihre Ziele nutzte. Die Schadsoftware war in Angriffe auf mehr als 100 Banken in 30 Ländern involviert und verursachte finanzielle Verluste von bis zu 1 Mrd. $. Des Weiteren wird sie in Verbindung gebracht mit weiteren Kampagnen und Point-of-Sale (PoS) Malware.
Die Gruppe FIN7 verkaufte auch gestohlene Zahlkarteninformationen im Dark Web. Die Kriminellen verfeinerten zudem die Funktionalität von Carbanak, und 2016 entwickelten sie einen angepassten Trojaner Cobalt, für den sie das legitime Penetrationstest-Tool Cobalt Strike missbrauchten.
Um in ein Netzwerk einzudringen setzen die Hintermänner auf Spearphishing mit in Anhängen eingebetteten Exploits für verschiedene Schwachstellen. Zudem missbrauchte FIN7 die Windows-Funktion Dynamic Data Exchange (DDE) sowie legitime Cloud-Dienste, um Carbanak abzulegen oder als Teil der C&C-Kommunikation.
Zu den Backdoor-Fähigkeiten von Carbanak gehören das Loggen von Tastaturbewegungen, Kapern von Screenshots von interessanten Websites, Stehlen und Löschen von Cookies und Einfügen von bösartigem Code in Websites. Auch kann der Schädling den Verkehr überwachen auf dem infizierten System überwachen.
Weitere Informationen zu FIN7 sowie technische Details zu Carbanak liefert der Originalbeitrag.
Was bedeutet der Leak des Quellcodes für Nutzer und Unternehmen?
Der geleakte Quellcode unterstützt die Informationssicherheitsgemeinschaft dabei, mit Hilfe von Bedrohungswissen zu verstehen, wie die Bedrohung funktioniert und wie eine Verteidigung dagegen aussehen kann.
Andererseits könnten gewiefte Cyberkriminelle für eigene Zwecke den Code nochmals kompilieren und rehashen. Dadurch entstehen neue Carbanak-Verzweigungen. So passiert mit Mirai, wobei nach dem geleakten Sourcecode weitere Abkömmlinge wie Satori, Miori, und Yowaibotnet.
Anwender und Unternehmen dürfen nicht tatenlos zusehen, denn bei der Fülle an Bedrohungen, die auf finanzielle Informationen aus sind, bedarf es manchmal nur einer einzigen über Social Engineering erstellten Phishing-Mail oder einer angreifbaren Anwendung, damit Angreifer Millionen abgreifen.
Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern. Mit Fähigkeiten wie Web/URL-Filtering, Verhaltensanalysen und anpassbarem Sandboxing bietet XGen Schutz vor den heutigen gezielten Bedrohungen, die herkömmliche Mechanismen umgehen, bekannte, unbekannte und nicht veröffentlichte Sicherheitslücken ausnutzen, um persönlich identifizierbare Daten zu stehlen oder zu verschlüsseln. Die Trend Micro-Lösungen werden durch XGen™ Security unterstützt: Hybrid Cloud Security, User Protection und Network Defense.