网银大盗:Carberp木马又出新变种

发布时间:2015-01-21浏览次数:1392

摘自:freebuf.com

安全专家最近发现了臭名昭著的网银大盗Carberp木马的新变种,该木马可以盗取网民的网银证书和敏感数据。

Carberp是一款专门用于盗取银行信息的恶意软件,今年4月份,犯罪分子通过该恶意软件从乌克兰和俄罗斯盗取了大约169万美元,根据乌克兰安全局(SBU)发布公告称,犯罪份子还盗取了一些企业银行账户的钱。

安全专家在去年1215日发现了一种恶意活动,该活动中正在散布臭名昭著的Carberp木马的新变种。自从20136月份在地下黑客市场公开Carberp木马的源代码之后,Carberp木马就开始了不断的进化历程。在1215日,也就是Carberp木马变异之后的第二天,研究员们就在一场垃圾邮件风波中发现了该恶意软件,并被命名为Trojan.Carberp.C。这些垃圾邮件是一个付款提醒,并包含一个伪装成发货单的恶意附件(例如:发货单.[随机数字]_2014.12.11.doc.zip)。木马的植入程序被加了Visual Basic保护壳,并以.ZIP文件作为垃圾邮件的附件。

Carberp.C最初设计时是用来获取网民的网银证书和其他敏感信息,但该新变种包含了一个插件集合,这些插件可以被注入到一个新创建的进程(svchost.exe)中来实现进一步的功能,例如改进的逃避技术。

安全研究人员称:“该恶意软件也能够下载额外的插件,这些插件可以用来注入到新建的svchost.exe进程中,以此来隐藏该木马。”研究员们检测到的一个插件能够通过hook API从受害者的Web浏览器中盗取网民敏感数据。这个木马新变种看起来非常高效,它既可以感染32位系统也可以感染64位系统,并包含了针对几种不同架构CPU的插件。

一旦受害者打开该ZIP文档,植入程序将恶意代码注入一个Windows进程,然后根据目标操作系统的类型来选择解密和解压嵌入的32位或64位模块。而当木马进入电脑之后,Carberp.C变种木马就会连接C&C服务器,然后下载更多的Payload并将其载入内存中。

Carberp.C中发现的主要组件有:

MyFault:一个Windows驱动程序,由Sysinternals开发并用于引发系统崩溃。这个模块本身并不是恶意程序,而是用于故障诊断,但是该木马的作者利用该模块实现木马被分析时蓝屏死机。

Downloader:一个Payload静默下载器(被检测为Trojan.Carberp.C)。

Carberp驱动:可以用来杀死进程并将恶意Payload载入到内存,以此来隐藏木马。(被检测为Trojan.Carberp.C)。