Anunak : Carbanak fait son retour

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 89245
Inscription : 10 sept. 2005 13:57
Contact :

Anunak : Carbanak fait son retour

Message par Malekal_morte » 12 sept. 2015 14:41

Carbanak est un malware de type stealer/banker, spécialisé dans le vol de données bancaires.

Il a d'abord été identifié comme étant Anunak par Group-IB & Fox-IT en décembre 2014.
https://www.fox-it.com/en/files/2014/12 ... tions2.pdf

Brian Krebs avait d'ailleurs publié le sujet : Gang hacked ATMs from inside banks ( et l'année suivante : http://krebsonsecurity.com/wp-content/u ... PT_eng.pdf )

Début 2015, ce code malveillant aurait permis de voler plus d'1 milliard de dollars ( 1 000 000 000 ) grâce à des attaques sophistiquées, selon le Nouvel Obs qui détaille, d'après les données fournies par l'entreprise Kaspersky, la manière d'opérer des criminels :
  • Le moment venu, les hackers utilisent les systèmes des banques pour transférer directement de l'argent sur leurs comptes, le plus souvent situés en Chine et aux Etats-Unis. Dans le cas du piratage d'un système de paiement électronique, ils s'en servaient pour régler en ligne.
  • Dans certains établissements, les cybercriminels ont réussi à pénétrer jusqu'au système de comptabilité des banques. Ils gonflaient alors les soldes de certains comptes de particuliers, avant d'empocher les fonds ajoutés. Par exemple, ils passaient les 1.000 dollars d'un compte à 10.000 dollars, avant de réaliser un virement de 9.000 dollars vers leur compte. Le titulaire du compte disposant toujours de ses 1.000 dollars d'origine ne soupçonnait ainsi pas ce qui se passait.
  • Enfin, dans quelques cas, les pirates ont réussi à prendre le contrôle de distributeurs automatiques de billets et les ont programmés pour distribuer de l'argent à un moment prédéterminé. Un complice n'avait alors qu'à se présenter en face de la machine à l'instant défini pour récupérer l'argent.
Plusieurs éditeurs de sécurité ont annoncé ce retour, CSIS - Cabarnak returns mais aussi ESET - Carbanak gang is back and packing new guns. Fin août 2015, l'éditeur ESET a annoncé avoir détecté une tentative de piratage de l'hôtel d'un casino à travers des courriels malicieux au format RTF et SCR :

Les deux malware utilisés étaient :
  • Win32/Spy.Sekur – Un logiciel espion (spyware) qui récupère des identifiants / informations d'accès.
  • Win32/Wemosis – Un code qui cible les POS sous Windows, plus particulièrement la mémoire des terminaux de paiements mais aussi les ordinateurs.
Les malware utilisés sont signés avec un certificat Blik dont le signataire est COMODO ( à ce propos lire l'actualité : Étude IBM: Les malware signés sont en constante augmentation ).

Image

Ce certificat "Blik" est aussi utilisé par le logiciel espion Win32/Spy.Agent.ORM (aka Win32/Toshliph), probablement tenu par le même groupe de cybercriminels derrière Cabarnak. Ce spyware aurait été utilisé pour pirater des banques ukrainiennes comme : RBC.UA & UNICREDIT.UA & la Banque Central d'Arménie. ESET signale que ce malware a été utilisé pour tenter de pirater d'autres compagnies Ukrainiennes et Russes, notamment avec des courriels avec des pièces jointes au format .SCR et des documents Microsoft Office Word piégés. ( comme Dridex )

Image

prikaz-451.doc
REMITTANCE ADVICE ON REJECTION.doc
PROOF OF REMITTANCE ADVICE .doc
HDHS739_230715_010711_A17C7148_INTERNAL.doc
Բանկերի և բանկային գործունեության մասին ՀՀ օրենք 27.07.2015.doc (Armenian: The Law on Banks and Banking 27.07.2015)
PAYMENT DETAILS.doc
АО «АЛЬФА-БАНК» ДОГОВОР.doc (Russian: Alpha-bank contract)
AML REPORTS_20082015_APPLICATION FORM-USD-MR VYDIAR.doc
Anti-Money Laudering & Suspicious cases.doc
ApplicationXformXUSDXduplicateXpayment.doc
AML USD & Suspicious cases.doc
Amendment inquiry ( reference TF1518869100.doc
Information 2.doc


Répartition des victimes de Win32/Wemosis à travers le monde.

Image

Contrairement aux habituels malware qui ratissent large en créant des botnets, ici les victimes sont peu nombreuses et très ciblées. Le but n'est pas d'effectuer une campagne à l'aveugle mais d'avoir les bons accès, pour dégager les informations des bonnes personnes et accéder aux bonnes machines,... afin de faciliter au mieux le détournement de l'argent. Il s'agit de crimes financiers de très haut niveau.

Liens externes:
- https://www.trustwave.com/Resources/Spi ... ethodology


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 89245
Inscription : 10 sept. 2005 13:57
Contact :

Re: Anunak : Carbanak fait son retour

Message par Malekal_morte » 31 mars 2018 13:45

Le leader présumé du trojan Carbanak a été arreté en Espagne.
Le total des vols perpétré s'élèverait à 1 million d'euros.

Il s'agit d'une opération d'Europol conjointes avec différentes polices européennes.
La structure et organisation du malware carbanak :
carbanak-malware.png
Le malware carbanak
source : https://www.europol.europa.eu/newsroom/ ... d-in-spain
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Actualité & News Informatique »