Investigadores de seguridad han descubierto el código fuente completo del Carbanak malware: sí, esta vez es real.
Carbanak, a veces denominado FIN7, Anunak o Cobalt, es uno de los programas maliciosos más peligrosos y completos que pertenece a un grupo de ciberdelincuentes al estilo APT involucrado en varios ataques contra bancos, instituciones financieras, hospitales y restaurantes.
En julio del año pasado, hubo un rumor de que el código fuente de Carbanak se filtró al público, pero los investigadores de Kaspersky Lab confirmaron más tarde que el código filtrado no era el troyano Carbanak.
Ahora, los investigadores de ciberseguridad de FireEye revelaron que encontraron el código fuente, los constructores y algunos complementos nunca antes vistos de Carbanak en dos archivos RAR. [1, 2] que se cargaron en el motor de análisis de malware VirusTotal hace dos años desde una dirección IP rusa.
«El código fuente de CARBANAK ocupaba 20 MB y comprendía 755 archivos, con 39 binarios y 100 000 líneas de código», dicen los investigadores. «Nuestro objetivo era encontrar inteligencia de amenazas que no pudimos ver en nuestros análisis anteriores».
Los investigadores de FireEye tienen planes de publicar una serie de artículos de 4 partes que detallan las características y el análisis de CARBANAK basados en su código fuente e ingeniería inversa.
Descubierto por primera vez en 2014 por Kaspersky Lab, Carbanak es uno de los ataques de malware más exitosos del mundo lanzado por un grupo altamente organizado que evolucionó continuamente en sus tácticas para cometer delitos cibernéticos mientras evitaba la detección de objetivos potenciales y las autoridades.
El grupo de piratas informáticos comenzó sus actividades hace casi seis años lanzando una serie de ataques de malware utilizando Anunak y Carbanak para comprometer bancos y redes de cajeros automáticos en todo el mundo y, por lo tanto, robar más de mil millones de euros de más de 100 bancos en todo el mundo.
Para comprometer a los bancos, los piratas informáticos enviaron correos electrónicos maliciosos de phishing selectivo a cientos de empleados de diferentes bancos, que infectaron las computadoras con el malware Carbanak si se abrían, lo que permitió a los atacantes transferir dinero de los bancos afectados a cuentas falsas o cajeros automáticos monitoreados por ellos.
Según las autoridades europeas, el grupo delictivo desarrolló más tarde un sofisticado troyano bancario listo para atracos llamado Cobalt, basado en el software de prueba de penetración Cobalt-Strike, que estuvo en uso hasta 2016.
El grupo fue expuesto por primera vez en 2015 como ciberdelincuentes motivados financieramente, y tres sospechosos, Dmytro Fedorov, 44, Fedir Hladyr, 33 y Andrii Kopakov, 30, todos de Ucrania fueron arrestados el año pasado en Europa entre enero y junio.
Los tres sospechosos, uno de los cuales (Kopakov) se cree que es el presunto líder del grupo delictivo organizado, fueron procesados y acusados de un total de 26 delitos graves en agosto de 2018.