Quellcode des Carbanak-Trojaners bleibt zwei Jahre unentdeckt auf VirusTotal

Ein Forscher von FireEye findet den Code erst im April 2019. Er ist auf zwei Archive aufgeteilt und umfasst rund 20 MByte sowie 100.000 Code-Zeilen. Der Quellcode erlaubt eine genauere Analyse als die bisher vorliegenden Malware-Samples.

Der Quellcode von einer der weltweit gefährlichsten Malware-Familien wurde offenbar schon vor zwei Jahren auf Virus Total hochgeladen und war seitdem für jeden frei zugänglich. Das hat der FireEye-Sicherheitsforscher Nick Carr herausgefunden. Den Quellcode fand er demnach Anfang des Monats in zwei RAR-Archiven.

Beide Archive wurden am 19. April 2017 von einer russischen IP-Adresse aus an Virus Total übermittelt. Sie sind 20 MByte groß und enthalten zusammen 39 Binärdateien mit rund 100.000 Code-Zeilen. „Den Quellcode zu haben ist so etwas wie ein Schummelmodus für die Malware-Analyse“, sagten die FireEye-Forscher Michael Bailey und James T. Bennett.

Carbanak (Bild:Kaspersky)Tatsächlich enthalte der Quellcode deutlich mehr Informationen als ein Malware-Sample. Vor allem bei der Kompilierung und beim Linking gingen Informationen verloren. Die Ergebnisse der genauen Analyse will FireEye nun in einer Serie von vier Blogbeiträgen veröffentlichen.

Entwickelt wurde Carbanak von einer als FIN7 bezeichneten Hackergruppe, die auch unter den Namen Carbanak, Anunak oder Cobalt Group bekannt ist. Sie wird als einer der erfolgreichsten und gefährlichsten Gruppen weltweit angesehen. Durch Hackerangriffe und Diebstähle soll sie einen Schaden von mehr als einer Milliarde Dollar verursacht haben.

Ab 2013 setzte die Gruppe die Anunak-Malware ein, um gegen Geldinstitute und Geldautomaten vorzugehen. Ab 2014 wurde Carbanak entwickelt und eingesetzt. Sicherheitsexperten sehen die Malware als eine Weiterentwicklung von Anunak an. Ab 2016 entwickelte die Gruppe zudem Schadsoftware mithilfe des legitimen Pen-Testing-Frameworks Cobalt Strike.

Die ursprüngliche FIN7-Gruppe wurde inzwischen von Strafverfolgern zerschlagen. Im März 2018 teilte Europol mit, der mutmaßliche Kopf der Bande sei in Spanien festgenommen worden. Im August verhaftete die ukrainische Polizei weitere Verdächtige. Sie sollen zusammen seit 2013 mehr als 100 Banken, E-Payment-Systeme und andere Finanzorganisationen in mindestens 30 Ländern angegriffen haben. Danach soll sich die Gruppe in mehrere kleine Organisationen aufgespalten haben, die noch immer gegen Geldinstitute weltweit vorgehen.

Schon im Juli 2018 hieß, der Quellcode von Carbanak sei in einem Hackerforum aufgetaucht. Später stellte sich dann heraus, dass es sich um den Code der RatoPak-Malware handelte, die zur Corkow-Gruppe gehört.

HIGHLIGHT

Die drei wichtigsten Faktoren bei der Modernisierung von SAN

In diesem E-Book erläutert NetApp die drei wichtigsten Faktoren bei der Modernisierung von SAN: Performance, vereinfachte Prozesse und eine zukunftssichere Architektur, die erweitert werden und dadurch auch künftige Anforderungen erfüllen kann. Jetzt herunterladen!

Themenseiten: FireEye, Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Quellcode des Carbanak-Trojaners bleibt zwei Jahre unentdeckt auf VirusTotal

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *