Der Banking-Trojaner CARBANAK ist ja für einige digitale Raubzüge der letzten Jahre bekannt. Jetzt haben Sicherheitsforscher den Quellcode auf VirusTotal entdeckt und der Community der Sicherheitsspezialisten zur Analyse zur Verfügung gestellt.
Anzeige
Vor einigen Tagen ging die Nachricht herum, dass Sicherheitsforschern von FireEye ein erstaunlicher Fund gelungen ist. Der Quellcode der Carbanak Backdoor wurde auf VirusTotal entdeckt (siehe folgender Tweet von Catalin Cimpanu).
FireEye researchers gained access to FIN7's Carbanak backdoor source codehttps://t.co/VeUurCwCIB pic.twitter.com/WN8DHKLQ8J
— Catalin Cimpanu (@campuscodi) 22. April 2019
Zum Hintergrund ein paar Informationen. Carbanak ist eine der umfänglichsten und gefährlichsten Malware-Familien. Andere Namen sind auch FIN7, Anunak oder Kobalt. Entwickelt wird die Malware von einer Gruppe von Cyber-Kriminellen, die die Malware zudem laufend weiter entwickelt. Die Gruppe war an mehreren Angriffen auf Banken, Finanzinstitute, Krankenhäuser und Restaurants beteiligt.
Im letzten Juli gab es kurz mal ein Gerücht, dass der Quellcode von Carbanak an die Öffentlichkeit gelangt sei. Aber Sicherheitsforscher von Kaspersky Lab bestätigten später, dass der gefundene Quellcode nicht der Carbanak-Trojaner sei, wie The Hacker News hier schreibt. Nun haben Cybersicherheitsforscher von FireEye wirklich den Carbanak-Quellcode, dessen Builder und einige bisher unsichtbare Plugins entdeckt. Diese wurden vor zwei Jahren von einer russischen IP-Adresse auf die VirusTotal Malware-Scan-Engine in zwei RAR-Archiven [1, 2] hochgeladen.
Anzeige
Die FireEye Sicherheitsforscher haben jetzt eine entsprechende Information im FireEye-Blog veröffentlicht. Das Ganze besteht aus vier Blog-Beiträgen, in denen die Details, was man herausgefunden hat, offen gelegt werden. Denn der Quellcode ist teilweise auf russische dokumentiert – ein Hinweis auf die Ecke, aus der die Entwickler der Malware stammen. Für normale Nutzer hat dies keinen praktischen Nutzen, aber für Sicherheitsforscher ist es eine Goldgrube. Mal schauen, was sich daraus noch so an Erkenntnissen ergibt. Einige zusammenfassende Infos finden sich auch bei The Hacker News.
Anzeige
Wer sich auch immer den Namen CARBANAK ausgedacht hat (Autoren des Trojaners oder Sicherheitsforscher) hat eine gewisse Portion Galgenhumor bewiesen – CARBANAK ließt sich fast wie Schabernack. Geschädigte können aber wohl nicht darüber lachen.
In welcher Sprache sind die Kommentare geschrieben?
Oder was ist das für ein merkwürdiger Zeichensatz?
Ist imho kyrillisch, wobei die Zuordnung des Zeichensatzes nicht stimmt.