Skip to main content

Quelle Code für Carberp finanzielle Malware zum Verkauf zu einem sehr niedrigen Preis, sagen die Forscher

Der Quellcode für das Carberp-Banking-Trojaner-Programm wird auf dem Untergrundmarkt zu einem sehr erschwinglichen Preis angeboten, was nach Ansicht von Forschern der russischen Cyberkriminalität in Zukunft zu weiterer Carberp-basierter Finanz-Malware führen könnte Untersuchungsfirma Group-IB.

Eine Person, die geglaubt wird, ein Mitglied der Carberp-Bande zu sein, kündigte auf einem Untergrundforum an, dass er bereit sei, den Quellcode für das Trojaner-Programm zu verkaufen "Zusätzliche Komponenten für 5.000 US-Dollar", sagte Andrey Komarov, Leiter internationaler Projekte bei Group-IB, am Dienstag per E-Mail.

Das ist ein sehr niedriger Preis, wenn man bedenkt, dass die Carberp-Bande Anfang des Jahres die Builder-Anwendung angeboten hat Erstellen Sie benutzerdefinierte Kopien des Trojaner-Programms für 40.000 $. Compiled-to-Order-Varianten der Malware wurden auch auf einem monatlichen Abonnement-basierten Modell mit Preisen zwischen $ 2000 und $ 10.000 je nach Anzahl der zusätzlichen Module angeboten.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows PC]

Komarov schätzt, dass der Quellcode normalerweise zwischen $ 50.000 und $ 70.000 wert sein würde.

Carberp begann im Jahr 2010 als privates, nicht verkaufbares Trojaner-Programm, das von einer einzigen Bande entwickelt und verwendet wurde nach einer begrenzten Anzahl von Verkäufen des Bauunternehmens im Jahr 2011 vervielfachte sich die Zahl der Betrugsoperationen von Carberp.

Lange Zeit wurde das Trojaner-Programm fast ausschließlich dazu verwendet, Online-Banking-Nutzer aus Russland, der Ukraine, Weißrussland, Kasachstan, Moldawien und andere Staaten der ehemaligen Sowjetunion. In diesem Jahr wurden jedoch Varianten und Konfigurationsskripte für US-amerikanische und australische Banken gefunden.

Einige Personen wurden in der Vergangenheit wegen ihrer Beteiligung an Carberp-Operationen verhaftet, sagte Komarov. Im Moment gibt es ungefähr 12 aktive Mitglieder innerhalb der Carberp Bande, die meisten von ihnen aus der Ukraine und Russland, aber einige leben in Ländern der Europäischen Union, sagte er.

Die Gruppe ist auch bekannt, externe Entwickler eingestellt zu haben, um zusätzliche Module für die Malware. Zum Beispiel wurden chinesische Hacker angeheuert, um ein Bootkit zu erstellen - eine Rootkit-Komponente auf Boot-Ebene, die mit dem Trojaner-Programm verwendet werden kann.

Komarov glaubt, dass das Verkaufsangebot für den Quellcode durch einen Konflikt innerhalb der Carberp-Gruppe verursacht wurde . Die Person, die den Code für $ 5000 anbietet, benutzt den Nickname madeinrm und behauptet, dass er sie gerne verkaufen würde, weil ein anderes Bandenmitglied, das online als Batman bekannt ist und den Support für die Kunden der Bande abwickelte, den Quellcode bereits an Komarov verkaufte sagte.

Die von madeinrm angebotene Archivdatei ist 5 GB groß und enthält angeblich den kommentierten Quellcode für Carberp und alle seine Module, einschließlich der Bootkits; der Quellcode für das Verwaltungsfenster, das auf den Carberp-Command-and-Control-Servern verwendet wird; Exploits für zwei Windows-Rechte-Eskalations-Sicherheitslücken, die 2012 repariert wurden, CVE-2012-0217 und CVE-2012-1864; und sogenannte "Web-Inject" -Skripte, die es der Malware ermöglichen, mit verschiedenen Online-Banking-Websites zu interagieren.

Komarov geht davon aus, dass der Verkauf des Carberp-Quellcodes, ähnlich wie in diesem Fall, zu neuer Banking-Malware führen wird des ZeuS-Banking-Trojaners, dessen Quellcode auf Filesharing-Websites durchgesickert ist.

Der Verkäufer beabsichtigt wahrscheinlich, das Team zu verlassen und zu anderen Projekten überzugehen, sagte Komarov. Es gibt Beispiele vergangener Beispiele von Malware-Entwicklern, die ihre Kreationen aufgeben und ihre Identität in Cybercrime-Foren löschen, sagte er.