23 abr. 2019

Código fuente del malware CARBANAK/FIN7 filtrado

Los investigadores de seguridad de FireEye han descubierto el código fuente completo del malware Carbanak, también conocido como FIN7, Anunak o Cobalto. Este es uno de los programas maliciosos más peligrosos, que pertenecen a un grupo de delincuentes al estilo de la APT involucrado en varios ataques contra bancos, instituciones financieras, hospitales y restaurantes.
carbanak source code
En julio del año pasado, se corrió el rumor de que el código fuente de Carbanak se filtró al público, pero investigadores de Kaspersky Lab confirmaron más tarde que el código filtrado no era el troyano Carbanak.

Ahora, los investigadores de FireEye revelaron que encontraron el código fuente de Carbanak, los creadores y algunos complementos nunca antes vistos en dos archivos RAR [1, 2 / 1, 2] que se cargaron en el motor de escaneo de malware VirusTotal hace dos años desde una dirección IP rusa.
"El código fuente de CARBANAK era de 20 MB y comprendía 755 archivos, con 39 binarios y 100.000 líneas de código. Nuestro objetivo era encontrar inteligencia sobre amenazas que habíamos perdido en nuestros análisis anteriores".
Los investigadores de FireEye tienen planes de lanzar una serie de artículos de 4 partes que detallan las características y el análisis de CARBANAK según su código fuente e ingeniería inversa.

Descubierto por primera vez en 2014 por Kaspersky Lab, Carbanak es uno de los malware más exitosos del mundo, lanzado por un grupo altamente organizado que evolucionó continuamente en sus tácticas para llevar a cabo la ciberdelincuencia al tiempo que evita la detección por parte de posibles objetivos y las autoridades.

El grupo de delincuentes comenzó sus actividades hace casi seis años lanzando una serie de ataques de malware utilizando Anunak y Carbanak para comprometer a los bancos y las redes de cajeros automáticos de todo el mundo, y de ese modo robar más de mil millones de euros a más de 100 bancos en todo el mundo.

Para comprometer a los bancos, los delincuentes enviaron correos electrónicos maliciosos de phishing a cientos de empleados en diferentes bancos, los cuales infectaron las computadoras con malware Carbanak si se abrían, lo que permite a los atacantes transferir dinero de los bancos afectados a cuentas falsas o cajeros automáticos monitoreados por ellos.

En nuestro análisis del código fuente hemos podido comprobar que existe código especifico para controlar el servicio IFobs, un servicio informático utilizado por los trabajadores de las entidades bancarias para gestionar los datos de sus clientes (incluyendo saldo de la cuenta). Entre el código fuente hemos podido ver que este módulo para IFobs permitiría, no solo robar las credenciales de acceso al sistema, sino también interactuar con el sistema para modificar los datos de las cuentas de los clientes (como el saldo).

Para proporcionar acceso remoto al ordenador infectado, hemos podido ver que en el código fuente también se incluyen módulos para iniciar un servidor VNC o RPD en el equipo, de forma que el atacante pueda conectarse al sistema y a partir de ahí pueda analizar el ordenador y la red en busca de servicios interesantes.
Según las autoridades europeas, el grupo criminal más tarde desarrolló un sofisticado troyano bancario listo para el atraco llamado Cobalt, basado en el software de pruebas de penetración Cobalt-Strike, que estuvo en uso hasta 2016.

El grupo fue expuesto por primera vez en 2015 como delincuentes cibernéticos por motivos económicos, y tres sospechosos, Dmytro Fedorov, de 44 años, Fedir Hladyr, de 33 años, y Andrii Kopakov, de 30 años, todos de Ucrania fueron arrestados el año pasado en Europa entre enero y junio.

Los tres sospechosos, uno de los cuales (se cree que Kopakov) era el presunto líder del grupo criminal organizado, fueron acusados ​​y acusados ​​de un total de 26 cargos de delitos graves en agosto de 2018.

Fuente: THN | Hispasec | Fireeye

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!