Phát hiện biến thể mới của Carberp Trojan

Trong giữa tháng 12, các nhà phát triển malware đã tung ra một biến thể mới của Carberp Trojan, một mối đe dọa được thiết kế để đánh cắp thông tin nhạy cảm trên các thiết bị.

carberp-australia-concept-image

Chiến dịch thư rác được phát tán thông qua malware mới Trojan.Carberp.C được tìm thấy bởi các nhà nghiên cứu Symantec vào 15 tháng 12, chỉ sau một ngày Trojan này được tạo ra. Trojan.Carberp.C giống phiên bản tiền nhiệm của nó được thiết kế chủ yếu để thu thập thôn tin nhưng nó cũng có thể thực hiện các nhiệm vụ khác với sự trợ giúp của các plugin lây nhiễm vào một tiến trình (svchost.exe). Một trong những plugin được phân tích bởi các nhà nghiên cứu đã lấy tìm thấy API của nó khi nó đang cố gắng ăn cắp tên người dùng, mật khẩu và những dữ liệu nhạy cảm từ trình duyệt web.

Các thư điện tử rác phát hiện bởi Symantec cũng được thiết kế trông giống như một nhắc nhở thanh toán hóa đơn. Trojan dropper được đóng gói bằng Visual Basic, đính kèm như một tệp tin .zip. Khi được khởi chạy, nó sẽ lây nhiễm mã độc vào tiếng trình của Windows, giải mã và giải nén thành phần được tích hợp sẵn. Một trong những thành phần đó là MyFault, một trình điều khiển Windows hợp pháp được sử dụng giải quyết sự cố khi hệ điều hành bị treo. Các chuyên gia tin rằng tin tặc phát triển malware sử dụng nó để làm treo hệ thống thiết bị nếu malware được phân tích.

Một trong những  thành phần khác là downloader được sử dụng để âm thầm tải payload của malware. Trình điều khiển Carberp là một thành phần được sử dụng để dừng tiến trình và lây nhiễm mã độc vào bộ nhớ nhằm giữ kín việc lây nhiễm không bị phát hiện. Đây dường như là mục tiêu chính của malware này nhưng một vài lây nhiễm cũng được tìm thấy tại Mỹ và một số nơi khác. Dường như tội phạm mạng đang tập trung nhiều hơn vào Úc. Báo cáo gần đây cho thấy rất nhiều vụ ransomware diễn ra thành công tại Úc trong thời gian qua.

Mã nguồn đầy đủ của Carberp được đăng tải trên các diễn đàn ngầm vào tháng 6 năm 2013, một thời gian ngắn sau khi chính quyền Nga tuyên bố bắt giữ các nhân được cho là chủ mưu đằng sau các phần mềm độc hại tài chính. Trojan.Carberp.B được phát hiện vào tháng 11 năm 2014 nhưng cùng lúc đó tin tặc cũng tung ra Zberp, một siêu malware kết hợp bởi Zeus và Carberp.

Securityweek

Bình luận