نوع جدید بدافزار بانکی Carberp

محققان امنیتی سیمنتک، کمپین هکی را شناسایی کردند که عامل انتشار نوع جدید بدافزار Carberp هستند. کد این بدافزار به‌مانند دیگر بدافزارها مانند زئوس، از طریق بازارهای زیرزمینی خریداری‌شده و ارتقاء پیداکرده است.

بدافزار بانام Trojan.Carberp.C شناسایی شد که از طریق ایمیل‌های اسپم انتشار پیدا می‌کند. این ایمیل‌ها بانام فاکتور خرید ارسال می‌شوند و دارای وصله مخرب بدافزار هستند. بدافزار همراه با ویژوال‌بیسیک، در یک فایل زیپ و در قسمت وصله ایمیل وجود دارد.

وظیفه اصلی Carberp.C سرقت اطلاعات بانکی قربانیان و دیگر داده‌های مهم آنان است. اما هکرها پلاگین‌هایی را به آن اضافه کرده‌اند که به پروسه svhost.exe تزریق می‌شود و ویژگی‌های جدیدی مانند روش‌های فرار از شناسایی را شامل می‌شود.

هم‌چنین بدافزار می‌تواند پلاگین‌های جدیدتر را از سرور C&C خود دانلود و نصب کند. به‌عنوان‌مثال یکی از این پلاگین‌ها می‌تواند داده‌های کاربر را از طریق مرورگر سرقت کند.

بدافزار جدید بسیار کاراتر شده است به‌طوری‌که می‌تواند سامانه‌های 32 بیت و 64 بیتی را آلوده کرده و دارای پلاگین‌های مختلف برای مدل‌های مختلف CPU است.

بر اساس گزارش سیمنتک بدافزار شامل قسمت‌های اصلی زیر می‌شود:

MyFault: درایور ویندوزی که به‌منظور شناسایی مشکلات آن استفاده می‌شود. هکرها از این درایور استفاده می‌کنند تا حمله صفحه آبی یا blue screen of death را ایجاد کنند.

Downloader: یک دانلود کننده که به‌صورت مخفی کار می‌کند.

Carberp Driver: به‌منظور کشتن پروسه‌ها کاربرد دارد. هم‌چنین تزریق بار مخرب به حافظه نیز از وظایف آن است.

بیشترین نقاطی که این بدافزار آلوده کرده است استرالیا و امریکا گزارش‌شده است.