Bankarski trojanac Silence špijunira i pljačka banke

Meta nisu klijenti banke, već sama banka, a motiv je finansijske prirode.

Bankarski trojanac Silence špijunira i pljačka banke

Novi bankarski trojanac ’Silence’ oponaša zloglasni Carbanak. Napadači provaljuju u sistem finansijskih organizacija gde „snimaju“ aktivnosti zaposlenih i kradu podatke, što kasnije koriste za krađu novca. Na sličan način operiše i Carbanak grupa, jedna od najpoznatijih APT grupa.

Dakle, Silence grupa koristi slične tehnike kao Carbanak grupa. Grupa najpre uđe u sistem banke, zatim provede dosta vremena špijunirajući „iznutra“, a na kraju pokreće Silence trojanac.

Spear phishing

Meta nisu klijenti banke, već sama banka, a motiv je finansijske prirode. Silence ulazi u sistem dobro oprobanom tehnikom - preko spear phishing imejlova kojima varaju zaposlene. Napadači često koriste imejl adrese koje pripadaju zaposlenima u organizaciji, a koje su prethodno kompromitovali, i traže od žrtve da pristupi računu. Pošto takav zahtev stiže sa legitimne adrese, primalac nema razloga da bude sumnjičav.

U imejlu se nalazi maliciozni atačment kojim se pokreće payload kada žrtva na njega klikne. Ovo pokreće seriju preuzimanja fajlova i pokreće dropper koji komunicira sa C&C serverom i koji zatim preuzima i pokreće maliciozne module kojima špijunira žrtvu snimanjem ekrana, uploadovanjem podataka, krađom kredencijala i pristupom sa udaljene lokacije.

„Modul za praćenje i kontrolu“ špijunira žrtvu tako što pravi više skrinšotova ekrana kako bi napadač video šta žrtva radi u realnom vremenu. „Modul za prikupljanje podataka o aktivnosti žrtve“ koristi Windows GDI i Windows API za pravljenje skrinšotova od kojih pravi bitmape kako bi stvorio pseudo video stream aktivnosti žrtve. Nakon ovoga, napadači se pritajeno nalaze u mreži sve dok ne prikupe dovoljno informacija za krađu novca.

Sličnost sa Carbanak grupom

Silence trojanac ima slične karakteristika kao trojanac koji je u svojim napadima koristila Carbanak grupa. Kampanje Carbanak grupe su najviše ciljale finansijske organizacije u Rusiji, zatim u Danskoj i SAD-u. Preko backdoor trojanca, Carbanak grupa je špijunirala, krala podatke i omogućila sebi pristup zaraženim računarima preko udaljene lokacije. Na taj način su prikupili informacije koje su im omogućile da za 2 godine ukradu čak milijardu dolara od 100 različitih banaka iz 30 država.

Silence i Carbanak imaju sličnosti u tome što prvo sebi obezbede dugotrajno prisustvo u internoj mreži banke, prate dnevnu rutinu, do detalja analiziraju datu mrežu i na kraju sve to iskoriste da ukradu što je moguće više novca od banke. Možda i najveća sličnost je u metodičnom praćenju i analizi dnevne rutine, odnosno izvlačenju informacija potrebnih za krađu ogromnih novčanih iznosa.

Zaključak eksperata je da su članovi Silence grupe sa ruskog govornog područja. Većina žrtava napada su ruske banke, ali ima pogođenih i u Maleziji i Jermeniji. Napadi su i dalje aktivni. Još uvek nije utvrđeno da li je Silence grupa proizašla iz Carbanak grupe ili je u pitanju potpuno druga grupa koja samo kopira njene tehnike i alate.

Napadi Silence grupe su najsvežiji primer rastućeg trenda napada na banke, odnosno sve je više sofisticiranih i profesionalno izvedenih sajber pljački koje imaju APT pečat.

Ovo nije prvi put da napadači koriste sličnu strategiju kao Carbanak grupa. U oktobru 2016., Symantec je otkrio tzv. Odinaff grupu koja je ciljala SWIFT globalnu mrežu za transfer novca pomoću Odinaff trojanca. Ova grupa je pokušala da se infiltrira u nekoliko finansijskih servisa i banaka, a neki od alata i infrastrukture imaju velike sličnosti sa Carbanak kampanjama. Takođe, Odinaff grupa je koristila 3 iste C&C IP adrese zabeležene u Carbanac napadu.

Izvor: darkreading.com