Skip to main content

Carberp Banking-Malware verbessert sich selbst

Ein Stück Banken-Malware, das die Forscher im Auge behalten, ist laut Hersteller Seculert mit ausgefeilteren Funktionen ausgestattet, um auf den PCs der Opfer versteckt zu bleiben.

Carberp, das auf Computer mit Microsoft Windows Betriebssystem abzielt, wurde zuletzt entdeckt Oktober von mehreren Sicherheitsunternehmen und bekannt für seine Fähigkeit, eine Reihe von Daten zu stehlen sowie sich als legitime Windows-Dateien zu tarnen und Antivirus-Software zu entfernen. Es wurde als Konkurrent zu Zeus, einer anderen bekannten Malware, in Rechnung gestellt.

Carberp kommuniziert mit einem Command-and-Controller (C & C) -Server unter Verwendung von verschlüsseltem HTTP-Web-Verkehr. Frühere Versionen von Carberp haben diesen Verkehr mit der RC4-Verschlüsselung verschlüsselt, aber immer den gleichen Verschlüsselungsschlüssel verwendet.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Mit demselben Schlüssel war es für Intrusion Protection-Systeme einfacher Analysieren Sie den Datenverkehr und ermitteln Sie die mögliche Kommunikation zwischen den infizierten Carberp-Computern und den C & C-Servern, sagte Aviv Raff, CTO und Mitbegründer von Seculert. Seculert betreibt einen cloud-basierten Dienst, der seine Kunden auf neue Malware, Exploits und andere Cyberbedrohungen aufmerksam macht.

Eine neue Version von Carberp vermischt sie mit einem zufällig anderen Schlüssel, wenn sie eine HTTP-Anfrage macht, sagte Raff. Wenn derselbe Schlüssel verwendet wird, können einige statische Muster erkannt werden. Selbst Zeus, der für seine qualitativ hochwertige Technik missbilligend respektiert wird, verwendet den gleichen Schlüssel wie die Malware.

"Die meisten netzwerkbasierten Sicherheitslösungen verwenden Verkehrssignaturen, um Bots zu erkennen, die versuchen, sich mit dem C & C zu verbinden", so Raff sagte. "Diese neue Funktion wird verwendet, um diese Art von Erkennung zu umgehen und es schwierig und fast unmöglich zu machen, solche Signaturen zu erstellen."

Seculert hat eine Beschreibung über Carberp veröffentlicht.

Carberp hat auch den Umfang der Opfer erweitert, die er sucht infizieren. Die neueste Version richtet sich an Nutzer in russischsprachigen Märkten, sagte Raff. Frühere Versionen zielten auf Banken in den Niederlanden und den USA ab, sagte er.