CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

03/06/2014

El nou troià Zberp, hereu de Zeus i Carberp

Troyano Cibercriminals han combinat el codi font de la xarxa de zombis (botnet) Zeus (Zbot) amb el de Carberp, per a crear una amenaça més agressiva destinada al robament d’informació, que ha atacat 450 institucions financeres al món, principalment als Estats Units, el Regne Unit i Austràlia.

Trusteer, companyia d’IBM, va anomenar el nou troià Zberp arran de la combinació dels dos noms. El codi font de Zeus va ser filtrat al públic el 2011, mentre que el de Carberp va ser posat en venda l’any passat. Grups de cibercriminals els utilitzen per a crear variants que poden incloure noves característiques, destinades a l’obtenció de rèdit econòmic.

Zberp recull informació de la computadora infectada, incloent-hi nom i adreça d'IP. Pot fer captures de pantalla i enviar-les a l’atacant, robar dades ingressades en formularis HTTP que envien informació sense xifrar, certificats SSL d’usuari i fins i tot credencials de comptes FTP i POP. A més, inclou funcionalitats opcionals que habiliten injeccions web dinàmiques, atacs Man In The Middle (MITM) o Man In The Browser (MITB) i connexions VNC/RDP. Sumat a les seues capacitats malicioses, este troià usa una combinació de tècniques d’evasió que va heretar de Zeus i Carberp, que el fan difícil de detectar i remoure.

També pot utilitzar la tècnica coneguda com a esteganografia per a incrustar codi en un format que intenta ocultar-se i saltar controls de seguretat.

En una entrevista amb SC Magazine, Dana Tamir, directora de Seguretat Corporativa de Trusteer, va dir que el troià s’ha estat propagant a través de la botnet Andròmeda. “És usat com un dropper que propaga programari maliciós per a infectar altres endpoints”, va explicar, i va agregar que un desenrotllament com este era esperable: “Els creadors de programari maliciós continuen enfortint les seues capacitats per a crear troians més sofisticats, i açò no pararà en el futur pròxim”.

Font: We Live Security

CSIRT-CV