Carbanak-hackere bruger ondskabsfuld Bateleur-malware til at angribe restaurantkæder i hele USA

En hackinggruppe, der går under navnet Carbanak, har gjort det til deres mission at infiltrere servere i restaurantkæder rundt omkring i USA. Hvis du ikke er bekendt med disse berygtede cyberskurke, er det afgørende, at vi introducerer dem. Malwareangrebet er ikke kun dine daglige wannabe-hackere, der udfører småskalaangreb med dårligt kodet malware. Nej, nej, Carbanak er i den store liga. Hacking-gruppen blev først opdaget af det russiske cybersikkerhedsfirma Kaspersky Lab tilbage i 2014. Carbanak sigter ikke mod almindelige brugere, men store finansielle institutioner . Den sædvanlige metode til at udføre deres angreb er via phishing-scams via e-mail. Det er vanskeligt at estimere nøjagtigt, hvad den samlede sum genereret fra deres ulovlige aktiviteter er, men det antages at være et sted mellem $ 500 millioner og $ 1 mia. Med denne information kaster lys over omfanget af cyberkriminalitet, som Carbanak er involveret i, lad os komme ind i detaljerne i det pågældende angreb.

Hvordan Bateleur inficerer

Den phishing-fidus, vi taler om i dag, blev først opdaget af eksperter fra Proofpoint. De opkaldte malware efter en ørneoprindelse - Bateleur. Sådan starter det hele - den målrettede restaurant modtager en tilsyneladende harmløs e-mail. E-mailen i sig selv ville sandsynligvis ikke forårsage mistanke - den sendes fra en Gmail- eller en Outlook-adresse. Det hævder, at det handler om en check, der angiveligt allerede er blevet drøftet. Det indeholder et Word-dokument, der er beregnet til at narre modtageren til at tro, at dette faktisk er checken. Her bliver det farligt - dokumentet vedhæftet i den falske e-mail-besked er krypteret, og det indeholder også en advarsel, der angiver, at filen er beskyttet af enten 'Google Documents Protect Service' eller 'Outlook Protect Service' (afhængigt af hvilken udbyder angriberne brugte til at sende beskeden). Ingen af disse 'beskyttelsestjenester' eksisterer imidlertid, og de er intet andet end et simpelt, men listigt trick, hvis mål er at bedrage offeret til at tro, at den fil, de er ved at åbne, er legitim. Nederst i dokumentet finder brugerne logoerne fra nogle populære antivirusproduktleverandører, der er placeret der for yderligere at overbevise offeret om at tro, at filen er troværdig. Dokumentet vil anmode offeret om at muliggøre redigering, og i tilfælde af at brugeren falder for Carbanak's bedrageri, fortsætter dokumentet med at implementere sin ondsindede nyttelast.

Bateleurs offensive og defensive kapaciteter

Når Bateleur har fundet vej på offerets system, begynder det at fungere. Denne trussel er særlig uheldig, da den har et helt sæt antidetektionsværktøjer til rådighed. Bateleur er i stand til at genkende, om det er i en sandkasse - et kontrolleret miljø, som malware-forskere bruger til at studere trusler og udvikle værktøjer til at bekæmpe dem. Hvis det er tilfældet, vil Bateleur stoppe sine processer og dermed forhindre malwareeksperter i at plukke det fra hinanden. En anden af dens smarte kapaciteter er forvirring. Dette er en trussels evne til at tilsløre sin kode og derfor gøre det næsten umuligt at analysere den.

Efter at have opført Bateleurs defensive evner, er det på tide, at vi kommer ind i trusselens offensive magt. Trojanen er i stand til at exfiltrere vigtige oplysninger om ofrets computerkonfiguration og kørende processer. Ud over dette giver det fjernangribere mulighed for at udføre kommandoer og PowerShell-scripts. Desuden er Bateleur fuldt ud i stand til at opdatere sine kernemoduler og endda afinstallere sig selv. Trojanen er i stand til at tage skærmbilleder af data, som den finder vigtig, og sender dem til Carbanaks kontrolservere . Bateleur er også beregnet til at være i stand til at stjæle adgangskoder , men den nuværende version mangler visse moduler, der kræves for at aktivere denne funktion. Men ved at kende det niveau, som Carbanak opererer på, forventer malwareeksperter, at dette snart vil blive tilføjet til Bateleur.

I betragtning af alle de sikkerhedsforanstaltninger, som Carbanak har truffet for at gøre Bateleur så uigennemtrængelig som muligt, ser det ud til, at denne trojan vil fortsat udgøre en stor trussel mod virksomheder og institutioner, hvoraf mange ikke erkender vigtigheden af at holde deres software opdateret dato og køb af en velrenommeret sikkerhedssuite.