O código fonte do trojan malware Carbanak foi encontrado na plataforma VirusTotal e esteve disponível publicamente sem que fosse notado pelas firmas de segurança.
Ele foi descoberto por investigadores de segurança da firma de segurança norte-americana FireEye. Ele foi analisado durante os últimos dois anos e tornado público hoje, para que outros membros da comunidade de segurança também possam beneficiar da descoberta da empresa.
O código do Carbanak é respeitante a uma backdoor — um trabalho delicado desenvolvido pelo cyber-gang FIN7, também conhecido pelos nomes de Carbanak, Anunak ou Cobalt Group.
O FIN7 é um dos grupos de hackers mais perigosos do mundo conhecidos até à data, sendo responsável por hacks e roubos de bancos e instituições financeiras de mais de 1 bilhão de euros.
O backdoor Carbanak é um malware de segunda geração do grupo, e que foi desenvolvido pelo grupo como ferramenta para ajudar nas intrusões das redes dos bancos.
- 2013 – 2014 – developed and used Anunak malware and targeted mainly financial institutions and ATM networks.
- 2014 – 2016 – developed and used Carbanak malware, a newer and more sophisticated version of Anunak.
- 2016 – 2017 – developed custom malware using Cobalt Strike, a legitimate penetration testing framework.
Recentemente, o investigador da FireEye, Nick Carr, encontrou dois ficheiros uploaded para o VirusTotal que continham o código fonte do Carbanak.
We found the full CARBANAK source code & previously unseen plugins.
Our #FLARE team spent 500 hours analyzing the 100,000+ lines of code.@mykill & @jtbennettjr just dropped day 1 of their 4-part blog series: https://t.co/0DULpYoDzq
Source code linked in blog. #CarbanakWeekpic.twitter.com/M5IOhWsIXL — Nick Carr (@ItsReallyNick) April 22, 2019
Os dois ficheiros foram enviados a partir de um endereço IP russo. Eles acabaram por ser uma peça fundamental pois ajudaram a FireEye a entender melhor o malware, mesmo que, neste momento, o grupo tivesse passado a usar ferramentas baseadas no Cobalt Strike.
De acordo com Carr, os dois ficheiros continham o código fonte completo do malware, junto com plug-ins inéditos, totalizando mais de 100.000 linhas de código.
“Having source code sounds like cheat-mode for malware analysis. Indeed, source code contains much information that is lost through the compilation and linking process,” said FireEye security researchers Michael Bailey and James T. Bennett.
A empresa publicou hoje uma primeira publicação no blog de uma série de quatro partes que analisará o código-fonte do Carbanak em maior detalhe.
Interesting insight into the coding of malware and the lengths they go to – more than the average script kiddie. https://t.co/wpSBWBYK12
— John Baxendale (@Siftah) April 22, 2019
Pedro Tavares is a professional in the field of information security, working as an Ethical Hacker, Malware Analyst, Cybersecurity Analyst and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks. He is also Freelance Writer.
Read more here.