O código fonte do trojan malware Carbanak foi encontrado na plataforma VirusTotal.

O código fonte do trojan malware Carbanak foi encontrado na plataforma VirusTotal e esteve disponível  publicamente sem que fosse notado pelas firmas de segurança.

Ele foi descoberto por investigadores de segurança da firma de segurança norte-americana FireEye. Ele foi analisado durante os últimos dois anos e tornado público hoje, para que outros membros da comunidade de segurança também possam beneficiar da descoberta da empresa.

O código do Carbanak é respeitante a uma backdoor — um trabalho delicado desenvolvido pelo cyber-gang FIN7, também conhecido pelos nomes de Carbanak, Anunak ou Cobalt Group.

 

O FIN7 é um dos grupos de hackers mais perigosos do mundo conhecidos até à data, sendo responsável por hacks e roubos de bancos e instituições financeiras de mais de 1 bilhão de euros.

O backdoor Carbanak é um malware de segunda geração do grupo, e que foi desenvolvido pelo grupo como  ferramenta para ajudar nas intrusões das redes dos bancos.

  • 2013 – 2014 – developed and used Anunak malware and targeted mainly financial institutions and ATM networks.
  • 2014 – 2016 – developed and used Carbanak malware, a newer and more sophisticated version of Anunak.
  • 2016 – 2017 – developed custom malware using Cobalt Strike, a legitimate penetration testing framework.

 

Recentemente, o investigador da FireEye, Nick Carr, encontrou dois ficheiros uploaded para o VirusTotal que continham o código fonte do Carbanak.

Os dois ficheiros foram enviados a partir de um endereço IP russo. Eles acabaram por ser uma peça fundamental pois ajudaram a FireEye a entender melhor o malware, mesmo que, neste momento, o grupo tivesse passado a usar ferramentas baseadas no Cobalt Strike.

De acordo com Carr, os dois ficheiros continham o código fonte completo do malware, junto com plug-ins inéditos, totalizando mais de 100.000 linhas de código.

“Having source code sounds like cheat-mode for malware analysis. Indeed, source code contains much information that is lost through the compilation and linking process,” said FireEye security researchers Michael Bailey and James T. Bennett.

 

A empresa publicou hoje uma primeira publicação no blog de uma série de quatro partes que analisará o código-fonte do Carbanak em maior detalhe.