Egy orosz vállalat megkérte a Kaspersky Lab szakértőit egy incidens kivizsgálására, melynek során több mint 130 ezer dollárt (32 millió forint) kíséreltek meg ellopni a cég bankszámlájáról. A vezetők rosszindulatú programot sejtettek a történtek hátterében, és gyanújuk már a vizsgálat első napjaiban beigazolódott. A pénzügyekre szakosodott kiberbűnözők által megtámadott vállalat bankja blokkolta a megkísérelt 130 ezer dolláros tranzakciót, azonban a hackerek sikeresen lehívtak egy 8000 dolláros kifizetést, mivel ez az összeg még túlságosan kicsi volt ahhoz, hogy riassza a bankot, és nem igényelt további jóváhagyást az ügyfél könyvelőjétől.
Az ügyre ráállított szakértők megkapták a megtámadott számítógép merevlemezének képfájlját. Ennek tanulmányozása során igen hamar felfedezték a gyanús e-mailt, amelyet az állami adóhivatal nevében küldtek, arra kérve a céget, hogy sürgősen mutasson be pár dokumentumot. Ezek listáját egy mellékelt Word-dokumentum tartalmazta, amelyet megfertőztek a CVE-2012-0158 jelű sérülékenység kihasználására szolgáló kóddal. A kód a dokumentum megnyitásakor aktivizálódott, és letöltött egy másik rosszindulatú programot az áldozat számítógépére.
A fertőzött számítógép merevlemezén a GERT specialistái megtalálták egy távoli hozzáférésre kifejlesztett, legális program módosított változatát. Ez a program általánosan használt a könyvelők és rendszeradminisztrátorok körében. Azonban a szakértők által talált verziót úgy módosították, hogy leplezze jelenlétét a fertőzött gépen. Mindazonáltal nem ez volt az egyetlen rosszindulatú program az áldozat számítógépén. A további vizsgálat kiderítette, hogy egy másik backdoort (Backdoor.Win32.Agent) töltöttek le a megfertőzött gépre a Backdoor.Win32.RMS segítségével. A kiberbűnözők ezt a fertőzött géppel való távoli Virtual Network Computing (VNC) hozzáférés létesítésére használták. Ráadásul a Backdoor.Win32.Agent kódjában a szakértők megtalálták a Carberp banki trójai elemeit. A Carberp forráskódját az év elején publikálták.
Miután a kiberbűnözők megszerezték az ellenőrzést a számítógép felett, egy illegális fizetési megbízást hoztak létre a banki rendszerben, amelyet a könyvelő számítógépének IP címével hitelesítettek a bank felé. De hogyan jutottak hozzá a könyvelő jelszavához, amely szükséges volt a tranzakció elindításához? A szakértők folytatták a vizsgálatot, és újabb rosszindulatú programra, a Trojan-Spy.Win32.Delf nevű billentyűzetleütés-figyelőre bukkantak. Ennek segítségével lopták el a kiberbűnözők a könyvelő jelszavát. Ahogy a vizsgálat a befejezéséhez közeledett, a szakértők újabb érdekességet fedeztek fel: a támadásban résztvevő összes rosszindulatú programot olyan C&C szerverekről irányították, amelyek IP címe ugyanahhoz az alhálózathoz tartozott. Amikor ezt az alhálózatot létrehozták, a kiberbűnözők elkövettek egy hibát, amely lehetővé tette a szakértők számára, hogy kiderítsék a Trojan-Spy.Win32.Delf-fel megfertőzött további számítógépek IP címét.
Annak érdekében, hogy csökkentsék a céges bankszámlákról való pénzlopás kockázatát, a szakértők azt tanácsolják a távoli bankolási rendszereket használó szervezeteknek, hogy hozzanak létre megbízható, többfaktoros hitelesítést (tokenekkel, egyszer használatos, a bank által kiadott jelszavakkal stb.); gondoskodjanak róla, hogy a vállalati számítógépekre telepített szoftvereket azonnal frissítsék (különösen a pénzügyi osztályokon használtakat); védjék ezeket a számítógépeket egy biztonsági megoldással; valamint képezzék ki az alkalmazottakat arra, hogy felismerjék a támadások jeleit és ezekre megfelelően reagáljanak.
