Basato sulle tecnologie messe a punto da Zeus e Brazilian Bankers, Trojan.Downloader.Carberp.A è programmato per intercettare, manipolare e rubare informazioni confidenziali che un utente può inviare o ricevere attraverso internet.
Trojan.Downloader.Carberp.A raccoglie le informazioni da siti web che richiedono il log in basato su connessioni SSL come i sevizi di online banking e di e-mail. Oltre a essere interessato ad ogni servizio abbastanza importante da necessitare di un’autenticazione SSL, il Trojan.Downloader.Carberp.A è progettato per monitorare una lista di siti web che contengono diversi portali di e-banking.
“Una volta eseguito su di un computer, il Trojan.Downloader.Carberp.A crea un paio di file temporanei nella cartella %temp% folder, in seguito si copia nella cartella di Startup di Windows in modo da eseguirsi dopo ogni accensione o riavvio”
afferma Catalin Cosoi, a capo dell’Online Threats Lab di BitDefender.
“Questo approccio potrà sembrare elementare se confrontato con altre famiglie di malware che aggiungono comandi di avvio al Registro di Sistema, eppure è proprio questa svalutazione che permette al Trojan.Downloader.Carberp.A di eseguirsi su sistemi operativi più recenti, o su account di utenti che non hanno privilegi amministrativi”.
Subito dopo l’infezione, il downloader si connette a un server C&C, dal quale scaricherà un file di configurazione criptato e ulteriore potenza attraverso un plug in. Questo permette al Trojan.Downloader.Carberp.A di intercettare il traffico internet e disattivare qualsiasi antivirus che si trovi sul computer appena infettato. In seguito invia al server C&C un unico ID e carica una lista di processi attivi al momento attraverso il metodo di richiesta GET. Dopo essersi copiato all’interno della cartella di startup come syscron.exe o chkntfs.exe, il Trojan.Downloader.Carberp.A nasconde la propria presenza utilizzando hook in ntdll.dll per intercettare qualsiasi chiamata verso NtQueryDirectoryFile e ZwQueryDirectoryFile.
Questo significa che l’utente non vedrà i propri file nella linea di commando dir.
“Ogni volta che un utente effettua il log in utilizzando un’autenticazione basata su SSL per accedere a un account di online banking, e-mail o social network il Trojan.Downloader.Carberp.A ruba le informazioni, prima che vengano criptate, e le invia al proprio server C&C attraverso HTTP. Quando la richiesta di log in raggiunge la banca, le credenziali saranno già cadute nelle mani degli aggressori”.
Trojan.Downloader.Carberp.A prende di mira determinate banche in Germania, Danimarca, Paesi Bassi, Israele seguendo precise istruzioni che riceve dal server C&C insieme alle istruzioni di configurazione. Quest’approccio sofisticato fornisce un redditizio strumento finanziario progettato per rubare denaro a clienti di servizi online o PMI. Il Trojan.Downloader.Carberp.A è anche capace di installarsi senza i privilegi dell’amministratore, attacca le ultime versioni di sistemi operativi e non effettua cambiamenti nel registro di sistema o in aree critiche del sistema operativo.
Gli utenti di BitDefender sono stati protetti dall’inizio dell’attacco grazie a generiche routine già incluse nel database del fornitore.
