Zberp, un troian bancar nou, complex şi periculos

Cercetătorii din cadrul companiei de securitate Trusteer, o subsidiară IBM, au anunţat că au descoperit un troian foarte periculos care urmăreşte furtul datelor bancare şi vizează 450 de instituţii de profil din întreaga lume. Denumit Zberp, acesta este o combinaţie între faimoasele produse malware Zeus şi Carberp, şi preia cele mai periculoase trăsături de la acestea.

Conform analizelor cercetătorilor, Zberp este construit pornind de la codul-sursă al troienilor Zeus şi Carberp. Codul-sursă Zeus a fost disponibil online încă din 2011, în timp ce codul-sursă Carberp a fost vândut online în vara anului trecut, cercetătorii afirmând că era doar o problemă de timp până când cineva va purcede la îmbinarea celor două produse şi la crearea unui troian nou mai inteligent.

Cu ajutorul acestui troian, infractorii cibernetici pot fura datele de autentificare pentru serviciile bancare sau pentru conturile FTP şi POP3, pot sustrage certificatele digitale locale, pot intercepta datele introduse în casetele de text din paginile HTML, pot înregistra tastele apăsate şi pot face capturi de ecran. Suplimentar, Zberp oferă opţiuni pentru interceptarea traficului făcut de browser, include un server VNC şi RDP pentru controlul de la distantă şi poate efectua atacuri de tip Cross Site Scripting.

De la Zeus, noul Zberp a moştenit rutinele inteligente de camuflare. Astfel, troianul şterge înregistrările din Start-up imediat ce s-a încărcat în memorie şi le reface atunci când se iniţiază oprirea sistemului de operare, eliminând astfel o înregistrare permanentă în regiştri care ar putea fi remarcată de produsele anti-malware sau de către utilizatori. La fel ca Zeus, Zberp foloseşte steganografia pentru criptarea şi camuflarea fişierelor de configurare în cadrul unor imagini aparent inofensive.

De la Carberp, noul troian Zberp a preluat rutinele de interceptare a datelor din browser şi rutinele software care-i permit să rămână rezident în memorie fără a putea fi interceptat cu uşurinţă de către produsele antivirus.

Conform cercetătorilor, cele mai multe produse antivirus nu erau capabile să recunoască Zberp în momentul în care acesta a fost descoperit. Aceştia afirmă însă că produsele anti-malware care includ rutine de protecţie mai complexe, cum ar fi analiza de comportament, ar trebui să fie capabile să intercepteze Zberp.