有名な銀行マルウェアであるCarberpの完全なソースコードが一般に漏洩したことはもはや秘密ではありません。 約5GBのソーステキストが事実上誰の目にも見えました。 アーカイブに含まれるもの:
- ブートキット、kmドライバー、およびkmで機能するすべてのソースコード。
- ビルダードロッパー。
- プラグイン
- Webインジェクション
- LPEエクスプロイト。
- 独自の悪意のあるコード開発プロジェクトを開始するために必要な他の膨大な量の完全な情報。
ゼウスの場合のように、物語は、テキストを含むアーカイブがいくつかの地下フォーラムで売りに出されたという事実から始まりました。 以下は、フォーラムの1つからの発表がある投稿です。 当初、Carberpのソースが売り
に出されたという情報は、6月18日、つまり約1週間前にTrusteer
によって公開されました。 アーカイブの価格は50,000ドルであることが指摘されました。 しかし、後でフォーラムの1つで、テキストが非常に低価格で販売されているという情報が現れました。 アーカイブには、悪意のあるコードテキストと、2008年以降に購入したサードパーティの開発が含まれています。
Carberpのソースを使用してアーカイブを取得することができまし
た。Carberpのソースのリークが、マルウェアに含まれていたすべての最大のものであるという事実を確認でき
ます 。 同時に、このインジケーターは悪意のあるコード自体の機能の数として含まれます。これらの機能は、含まれるテキスト、詳細度、およびこれらのソーステキストに基づいてクローンが実行できる破壊力によって記述されます。
kernelmode.infoモデレーターの1人であるEP_X0FFは、リークされたテキストによって機能が説明されている悪意のあるプログラムのファミリーに関する統計を
収集しました 。 このリストは本当に印象的です(!):
Ursnif、Rovnix、Alureon、Phdet、Zeus、Vundo、SpyEye 。 これらのマルウェアファミリはすべて、受信者に非常によく知られており、広く使用されています。
Carberpは、開発者がRovnixフレームワーク(VBR感染方法を使用した最初のブートキットファミリの1つで、OS制限をバイパスしてx64プラットフォームにドライバをロードできるようになった)を購入した2011年まで、最初にブートキットコンポーネントを持っていなかったことを説明しましょう。 RovnixコードとそのソースコードをCarberpに含めることの歴史については、同僚の
Alexander Matrosovが
ここで詳しく説明し
ました 。 また、悪意のあるコードの開発の段階を追跡できるCarberpの進化に関する
完全なレポートをまとめました。
多くの出版物やAVベンダーは、Carberpの情報源の漏洩に関連する事件について書いているか、すでに書いています。これは不快な結果につながる可能性のある非常に有名な事件だからです。 これは、銀行のCarberpマルウェア自体のクローン、Rovnixブートキットプラットフォーム、およびパブリックドメインに出現した悪意のあるコードのソースコードから生成される可能性のあるその他の悪意のあるコードの出現の事実を指します。
更新 :コードを少し調べたところ、アーカイブには有名な
Stonedブートキットと
Sinowalブート キットのテキストの一部が含まれていることが
わかりました 。
CSISの
Peter Kruseによるコメント:(
threatpostの場合 )
パッケージには、Carberpブートキットと、Stonedブートキット、Citadel、Ursnifなどと思われる他のソースコードも含まれています。 パッケージは現在、詳細な分析中です。 また、明らかにプライベートなチャットと、いくつかのFTPサーバーのさまざまなユーザー名とパスワードを含むいくつかのテキストファイルも見つかりました。 これもさらに調査する必要があります。