Разработчики известного банковского трояна Carberp объявили о выходе новой версии и возобновлении массовой продажи своего продукта.
Отличительной особенностью возвращения является расширение модели продаж: ботнет можно не только приобрести, но и взять в аренду с помесячной абонентской платой. Теперь Carberp можно смело позиционировать как еще один SaaS-продукт на рынке киберпреступности.
Если другой известный банковский ботнет Citadel - модификация ZeuS (уже предлагаемый злоумышленникам как SaaS-продукт) ориентирован на зарубежные банки, то Carberp специализируется на системах ДБО банков России и стран СНГ - об этом свидетельствует статистика его распространения.
Таким образом, в наступающем 2013 году можно прогнозировать всплеск мошенничества через системы дистанционного банковского обслуживания.
Разработчики банковского ботнета Carberp заявляют о выходе новой версии с буткит-функционалом. Еще в ноябре 2011 года специалисты антивирусной компании ESEТ отчитались об обнаружении версии ботнета Carberp с подобным функционалом. Однако, тогда ботнет работал тогда еще в режиме тестирования - на это указывало большое количество отладочных сообщений о процессе установки и сравнительно небольшая распространенность этой версии. Похоже, разрабочики выводят новую версию продакшн: в описании задекларировано улучшение стабильности, живучести и функциональности продукта.
Приводится обновленный прайс-лист в зависимости от комплектации трояна: Минимальная - $5 000 или аренда $2 000 в месяц Расширенная - $10 000 или аренда $3 500 в месяц Полная - $15 000 или аренда $5 000 в месяц Буткит - $40 000 или аренда $10 000 в месяц
Особо стоит на обратить внимание на появление возможности аренды, делающей ботнет более доступным, а значит, и более распространенным.
Итак, что же нам ждать от Carberp'a?
Обновленная версия трояна ориентирована на клиентов на ОС Windows (WinXP/Vista/7) на 32-битных версиях. Поддержка 64-битных версий заявлена в ближайших планах, обновление с этой доработкой будет доступно в будущем всем бесплатно. Заявлена поддержка браузеров: Firefox, Safari, Opera, IE, Chrome. Однако, инжектирование работает только на Internet Explorer и Firefox, также в ближайших планах реализация «Инжекты и формграббер для Chrome». Разработчики подумывают о реализации p2p для восстановления контроля над ботнетом, это обновление уже будет за деньги. Эффективность ботнета заявлена в районе 60-90%.
Краткий перечень функционала различных комплектаций (приведен авторский текст, каждая последующая комплектация включает в себя весь функционал предыдущих):
Минимальная: - Лоадер - ФТП граббер (31 клиент) - Пассворд граббер - Форм граббер (IE, FF, Opera) - ФТП сниффер - Граббер basic-авторизации в IE - Удаление cookie и sol в IE и FF - DDOS - Socks5 прокси - Поддержка инжектов в IE и FF - Программа для написания и отладки инжектов с удобным GUI - Шифрование траффика - Билдер - Многофункциональная админка бота
Расширенная: - Граббер сертов из IE - Модуль Хантер - Универсальный кейлоггер - Автообновление крипта и доменов - Поиск слов в документах и отправка в админку - Запись видео на боте для отладки инжей и АЗ - Расширенный функционал в админке
Полная: - VNC (win xp/vista/7 admin/user) и RDP (win xp admin)
Буткит: - MBR-загрузчик бота (win xp/7)
Таким образом, в новой версии трояна Carberp реализован весь джентльменский набор киберпреступника, вплоть до удаленного управления ПК жертвы (RDP и VNC).
Буткит функционал - особая гордость этого ботнета, на специализированных ресурсах о нем уже написано не мало. Сами разработчики заявляют следующее:
Буткит Работает на Win XP/7, отстук ~60-80%. Устанавливается на ринг3 бота, поэтому если установка не удалась, ринг3 на боте станется в работоспособном состоянии. После установки происходит перезагрузка, и при удачном запуске бота из ринг0, ринг3 версия удаляется АВ буткит найти не могут, так же как и бота, запускаемого через буткит, поэтому криптовать и обновлять не требуется. Даже если в будущем некоторые АВ смогут его найти, то все равно не смогут удалить, юзеру поможет только переустановка системы. Живучесть 65% и более через месяц после прогруза.
Примечание: работа из Ring3 (UserMode) дает возможность запускаться боту даже из гостевых учетных записей Windows. Плюс это гарантирует повышенную стабильность и адаптивность к последующим версиям Windows.
Разработчики настроены весьма решительно, заявляют о приеме заказов на написание грабберов и автозалива. Заявляется наличие огромного опыта в написании грабберов паролей, ключей, балансов и автозаливов любой сложности под любые системы. В духе современного сервисного подхода предлагается:
Благодаря тесному сотрудничеству наших программистов, мы можем подправить и дописать нашего бота под заказанные у нас АЗ для получения максимальных результатов. Есть полнофункциональная админка автозалива. Цены и условия оговариваются для каждого заказа отдельно. Это не сервис по написанию мелких инжей, работаем только с крупными заказчиками.
Выводы оставим за читателями данного материала. Насколько востребованным окажется данное предложение на рынке - покажет статистика мошенничеств в системах ДБО не такого уж далекого будущего...