Quellcode des Carbanak-Trojaners bleibt zwei Jahre unentdeckt auf VirusTotal

Ein Forscher von FireEye findet den Code erst im April 2019. Er ist auf zwei Archive aufgeteilt und umfasst rund 20 MByte sowie 100.000 Code-Zeilen. Der Quellcode erlaubt eine genauere Analyse als die bisher vorliegenden Malware-Samples.

Der Quellcode von einer der weltweit gefährlichsten Malware-Familien wurde offenbar schon vor zwei Jahren auf Virus Total hochgeladen und war seitdem für jeden frei zugänglich. Das hat der FireEye-Sicherheitsforscher Nick Carr herausgefunden. Den Quellcode fand er demnach Anfang des Monats in zwei RAR-Archiven.

Beide Archive wurden am 19. April 2017 von einer russischen IP-Adresse aus an Virus Total übermittelt. Sie sind 20 MByte groß und enthalten zusammen 39 Binärdateien mit rund 100.000 Code-Zeilen. „Den Quellcode zu haben ist so etwas wie ein Schummelmodus für die Malware-Analyse“, sagten die FireEye-Forscher Michael Bailey und James T. Bennett.

Carbanak (Bild:Kaspersky)Tatsächlich enthalte der Quellcode deutlich mehr Informationen als ein Malware-Sample. Vor allem bei der Kompilierung und beim Linking gingen Informationen verloren. Die Ergebnisse der genauen Analyse will FireEye nun in einer Serie von vier Blogbeiträgen veröffentlichen.

Entwickelt wurde Carbanak von einer als FIN7 bezeichneten Hackergruppe, die auch unter den Namen Carbanak, Anunak oder Cobalt Group bekannt ist. Sie wird als einer der erfolgreichsten und gefährlichsten Gruppen weltweit angesehen. Durch Hackerangriffe und Diebstähle soll sie einen Schaden von mehr als einer Milliarde Dollar verursacht haben.

Ab 2013 setzte die Gruppe die Anunak-Malware ein, um gegen Geldinstitute und Geldautomaten vorzugehen. Ab 2014 wurde Carbanak entwickelt und eingesetzt. Sicherheitsexperten sehen die Malware als eine Weiterentwicklung von Anunak an. Ab 2016 entwickelte die Gruppe zudem Schadsoftware mithilfe des legitimen Pen-Testing-Frameworks Cobalt Strike.

Die ursprüngliche FIN7-Gruppe wurde inzwischen von Strafverfolgern zerschlagen. Im März 2018 teilte Europol mit, der mutmaßliche Kopf der Bande sei in Spanien festgenommen worden. Im August verhaftete die ukrainische Polizei weitere Verdächtige. Sie sollen zusammen seit 2013 mehr als 100 Banken, E-Payment-Systeme und andere Finanzorganisationen in mindestens 30 Ländern angegriffen haben. Danach soll sich die Gruppe in mehrere kleine Organisationen aufgespalten haben, die noch immer gegen Geldinstitute weltweit vorgehen.

Schon im Juli 2018 hieß, der Quellcode von Carbanak sei in einem Hackerforum aufgetaucht. Später stellte sich dann heraus, dass es sich um den Code der RatoPak-Malware handelte, die zur Corkow-Gruppe gehört.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Themenseiten: FireEye, Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Quellcode des Carbanak-Trojaners bleibt zwei Jahre unentdeckt auf VirusTotal

Kommentar hinzufügen

Kommentare sind bei diesem Artikel deaktiviert.