Carberp — троянская программа и одноимённая хакерская группа. Kaspersky.ru в 2013 году включил данный троян в «Великолепную четвёрку банковских троянов» .

История создания

Троян Carberp был создан в 2011 году братьями из Москвы для воровства конфиденциальной информации и проведения мошеннических действий в сфере банковских услуг в России. По данным МВД, преступная группа была создана для получения доступа к персональным компьютерам, использовавшимся для работы с системами «Банк-Клиент» за счёт вредоносного программного обеспечения .

С помощью трояна преступники подключались к персональным компьютерам, благодаря этому переводили денежные средства на заранее подготовленные счёта. Сведения Carberp передавал на специальный сервер, управляющий трояном.

Атакам Carberp подверглись банки на территории России и Украины .

Принцип внедрения вредоносного кода

В процессе анализа одного из дропперов Carberp, была обнаружена техника внедрения вредоносного кода в доверенные процессы Windows, основанная на коде . Сначала дроппер открывает одну из общедоуступных секций, затем прописывает шелл-код в конец какой-либо из них. Далее дроппер работает по схеме Gapz, с некоторыми изменениями в коде. Завершающим этапом является внедрение вредоносного кода процесс explorer.exe, который считается доверенным. Это делается для обхода антивирусных программ и исполнения нужных трояну действий в качестве доверенного процесса .

Плагины, которыми снабжался троян, удаляли антивирусные программы из заражённой системы, а также удаляли следы деятельности трояна. В дальнейшем троян стал применять шифрование передаваемой им информации .

Издание Cnews так резюмировало действия трояна Carberp :

Модификация банковского ПО

Carberp модифицирует Java Virtual Machine . Он вносит изменения в банковское ПО, написанное на Java, с помощью библиотеки Javassist, которая способна управлять исполняемым байт-кодом Java («на лету»). Троян Carberp проводит этим методом атаку против системы онлайн-банкинга BIFIT’s iBank 2. После того, как клиент использует iBank 2 на зараженном компьютере, код начинает загружать дополнительный модуль AgentX.jar, затем запускается библиотека Javassist. Для быстрой модификации платежных документов используется Java/Spy.Banker .

После того, как добавятся все необходимые изменения в iBank2, злоумышленники получат полный контроль над всеми платежами, осуществляемыми через это банковское ПО. BIFIT’s iBank2 не контролирует целостность своего кода, поэтому утечка информации о денежных транзакциях становится не контролируемой. Все платежные операции проходят через злоумышленников, контролирующих троян Carberp. Кроме того, аналитики отмечают, что модуль Java/Spy.Banker способен обходить системы двухфакторной аутентификации с использованием одноразовых паролей .

Поимка киберпреступников

С начала ноября 2010 года Министерство внутренних дел России совместно с Федеральной службой безопасности и Group-IB работали над поимкой киберпреступников. В январе 2011 года следователи установили личность главы киберпреступной группировки. В течение всего года им удалось установить личности ещё семи его сообщников. Все они были арестованы. Преступники похитили более 60 миллионов рублей и около 2 миллионов долларов .

19 марта 2013 года Службе безопасности Украины благодаря сотрудничеству с ФСБ России удалось арестовать ещё 16 человек, разрабатывавших и распространявших Trojan.Carberp .

Тем не менее, как отмечал kaspersky.ru в октябре 2013 года, сам троян полностью ликвидировать не удалось. Сначала его код предлагался за 40 тысяч долларов, а затем был выложен в открытый доступ .

Примечания