Megújult Carbanak trójai, amely 2015-ben már óriási károkat okozott. De míg korábban az Office dokumentumokat használta a fertőzéshez, most átnyergelt a Google Apps-re: a Google Google Apps Scriptet, a Google Táblázatokat (Sheets) és a Google Űrlapokat (Forms) használja. A közvetítő azonban továbbra is egy dokumentum, csak épp egy RTF állomány – írja összefoglalójában a Biztonságportál.

Állítólag egymilliárdot raboltak vele

A Carbanak két éve azért kapott kiemelt figyelmet, mert világszerte több mint száz bank ellen indított támadást. Egyes becslések szerint az általa okozott kár elérhette akár az egymilliárd dollárt is, és eddig legalább harminc országban tudták kimutatni a jelenlétét. Ez a produktivitás már csak azért is figyelemre méltó, mert a folyamatba be kellett vonnia a felhasználót is: Office dokumentumokkal került fel a számítógépekre, de a tényleges fertőzéshez mindenféle trükkökkel rá kellett vennie a felhasználót arra, hogy aktiválja a károkozót.

A most felfedezett variáns – amit a Forcepoint Security Labs kutatói találtak meg –, abban nem újított, hogy továbbra is dokumentum segítségével terjed. Az Office formátumait azonban lecserélte RTF-re. És abban sincs változás, hogy a fertőzéshez kell a felhasználó közreműködése: a felhasználónak meg kell nyitnia a jellemzően email mellékleteként érkező állományt. Ha ez megtörtént, onnantól már érdekes lesz a történet.

A "fedősztori", amely kattintásra ösztönöz
(Forrás: Forcepoint)

Az általában e-mailben érkező fájl ugyanis tartalmaz egy beágyazott OLE objektumot, illetve egy VBScript kódot. Ezt azonban ügyesen eltakarták egy megtévesztő szöveggel és egy képpel. A képernyőn megjelenő utasítás szerint az állomány tartalmának megtekintéséhez duplán kell kattintani a képre, mert azzal ellenőrzi a dokumentum, hogy nem egy számítógépes robot igyekszik megnyitni a fájlt.

A valóságban persze a dupla kattintás arra szolgál, hogy a felhasználó megnyisson egy unprotected.vbe nevű fájlt, amivel így lényegében maga fertőzi meg saját rendszerét. A módszer primitív – nem kellenek kifinomult technikák vagy szoftveres sérülékenységek –, de mint a Carbanak előző változatánál, valószínűleg itt is működik.

Bekapcsolódik a Google Apps

Ha pedig megtörtént a fertőzés, jön a következő szint, ami a Carbanak valódi újdonsága: a fertőzési folyamatba bekapcsolja a Google Apps fentebb már említett három szolgáltatását, az Apps Scriptet, a Táblázatokat (Sheets) és az Űrlapokat (Forms)

A trójai minden fertőzött számítógéphez készít egy egyedi azonosítóval ellátott Google táblázat. Ha ilyen még nincs, akkor a Google Apps Script segítéségével létrehoz egy űrlap-azonosítót, valamint egy táblázatot. A legközelebbi kommunikáció során ezeket használja fel ahhoz, hogy különféle parancsokat hajtson végre a fertőzött számítógépen.

A Google Appson történő vezérlési (C&C) folyamatok vázlata

(Forrás: Forcepoint)

A Forcepoint szakértője, Nicholas Griffin arra vezeti vissza, hogy a Carbanak a Google szolgáltatásai felé fordult, hogy sok szervezet nem szűri a Google szolgáltatásai által kezelt tartalmakat. Emiatt a Carbanak nagyobb eséllyel tud átjutni a védelmi vonalakon, hogy végrehajtsa a megadott műveleteket. Ezzel a támadók szemszögéből egy biztos, akár hosszabb időn keresztül fenntartható vezérlőcsatorna jön létre, amiket ráadásul teljesen legális szolgáltatásokon keresztül tudnak üzemeltetni.