Для заражения систем вредоносным ПО группировка использует один из наиболее распространенных методов – фишинг. Согласно отчету компании Flashpoint, описывающему подробности недавних кампаний Carbanak, одно из фишинговых писем содержало ранее нигде не встречавшееся вредоносное ПО, получившее название SQLRat. Троян способен загружать и исполнять SQL скрипты на зараженных системах. Троян не оставляет артефакты, как обычное вредоносное ПО, поэтому отследить и проанализировать его довольно сложно. Скрипт подключается к контролируемой Carbanak базе данных Microsoft и исполняет контент различных таблиц, в том числе записывает на диск загрузчик Tinymet Meterpreter.
Бэкдор DNSbot- еще один новый вредонос, появившийся в активе Carbanak. Он использует DNS-трафик для передачи команд и данных с инфицированной системы. Программа также может переключаться между зашифрованными каналами (включая HTTPS и SSL). Также группировка обзавелась новой написанной на PHP панелью управления скриптами под названием Astra, используемой для отправки вредоносного кода на скомпрометированные компьютеры.