網(wǎng)銀大盜:Carberp木馬又出新變種
責(zé)編:admin |2015-01-20 13:43:51賽門鐵克公司惡意軟件分析專家最近發(fā)現(xiàn)了臭名昭著的網(wǎng)銀大盜Carberp木馬的新變種,該木馬可以盜取網(wǎng)民的網(wǎng)銀證書和敏感數(shù)據(jù)。
科普:網(wǎng)銀大盜Carberp
Carberp是一款專門用于盜取銀行信息的惡意軟件,今年4月份,犯罪份子通過該惡意軟件從烏克蘭和俄羅斯盜取了大約169萬美元,根據(jù)烏克蘭安全局(SBU)發(fā)布公告稱,犯罪份子還盜取了一些企業(yè)銀行賬戶的錢。《價值50000美元的銀行惡意軟件源碼 – Carberp》
Carberp木馬新變種
賽門鐵克公司的安全專家在去年12月15日發(fā)現(xiàn)了一種惡意活動,該活動中正在散布臭名昭著的Carberp木馬的新變種。
自從2013年6月份在地下黑客市場公開Carberp木馬的源代碼之后,Carberp木馬就開始了不斷的進化歷程。在12月15日,也就是Carberp木馬變異之后的第二天,賽門鐵克公司研究員們就在一場垃圾郵件風(fēng)波中發(fā)現(xiàn)了該惡意軟件,并被命名為Trojan.Carberp.C。
這些垃圾郵件是一個付款提醒,并包含一個偽裝成發(fā)貨單的惡意附件(例如:發(fā)貨單.[隨機數(shù)字]_2014.12.11.doc.zip)。木馬的植入程序被加了Visual Basic保護殼,并以.ZIP文件作為垃圾郵件的附件。
Carberp.C最初設(shè)計時是用來獲取網(wǎng)民的網(wǎng)銀證書和其他敏感信息,但該新變種包含了一個插件集合,這些插件可以被注入到一個新創(chuàng)建的進程(svchost.exe)中來實現(xiàn)進一步的功能,例如改進的逃避技術(shù)。
賽門鐵克安全研究人員稱:
“該惡意軟件也能夠下載額外的插件,這些插件可以用來注入到新建的svchost.exe進程中,以此來隱藏該木馬。”
研究員們檢測到的一個插件能夠通過hook API從受害者的Web瀏覽器中盜取網(wǎng)民敏感數(shù)據(jù)。這個木馬新變種看起來非常高效,它既可以感染32位系統(tǒng)也可以感染64位系統(tǒng),并包含了針對幾種不同架構(gòu)CPU的插件。
一旦受害者打開該ZIP文檔,植入程序?qū)阂獯a注入一個Windows進程,然后根據(jù)目標(biāo)操作系統(tǒng)的類型來選擇解密和解壓嵌入的32位或64位模塊。而當(dāng)木馬進入電腦之后,Carberp.C變種木馬就會連接C&C服務(wù)器,然后下載更多的Payload并將其載入內(nèi)存中。
Carberp.C中發(fā)現(xiàn)的主要組件有:
MyFault:一個Windows驅(qū)動程序,由Sysinternals開發(fā)并用于引發(fā)系統(tǒng)崩潰。這個模塊本身并不是惡意程序,而是用于故障診斷,但是該木馬的作者利用該模塊實現(xiàn)木馬被分析時藍屏死機。
Downloader:一個Payload靜默下載器(被檢測為Trojan.Carberp.C)。
Carberp驅(qū)動:可以用來殺死進程并將惡意Payload載入到內(nèi)存,以此來隱藏木馬。(被檢測為Trojan.Carberp.C)。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧