Parece que um novo Cavalo de Troia bancário para computadores “pegou emprestado” alguns recursos e funcionalidades dos conhecidos malwares financeiros Zeus e Carberp. O novo vírus tem como alvo os usuários de 450 instituições financeiras ao redor do mundo.
A ameaça – apelidada de Zberp pelos pesquisadores da Trusteer, subsidiária da IBM – possui uma ampla gama de recursos. O malware pode coletar informações sobre computadores infectados incluindo endereços IP e nomes; tirar prints da tela e enviar as imagens a servidores remotos; roubar credenciais de FTP e POP3, certificados SSL e informações inseridas em formulários web; sequestrar sessões de navegadores e inserir conteúdo malicioso em sites abertos e iniciar conexões maliciosas remotas usando protocolos VNC (Virtual Network Computing) e RDP (Remote Desktop Protocol).
Os pesquisadores da Trusteer consideram o Zberp uma variante do ZeusVM – uma modificação recente do popular Zeus, cujo código fonte foi liberado em fóruns arbitrários em 2011. O ZeusVM foi descoberto em fevereiro e se destaca de outras variantes baseadas no Zeus por conta do uso de esteganografia para ocultar dados de configuração dentro de imagens.
Os autores do Zberp usaram a mesma técnica de envio de configurações de updates incorporadas a uma imagem que aparenta ser o logo da Apple. Essa técnica foi usada pelo ZeusVM para evitar a detecção por programas antimalware. No entanto, a nova versão do vírus também utiliza técnicas de “hooking” para controlar o navegador – e essa parece ter sido “emprestada” do Carberp, um outro Cavalo de Troia bancário desenvolvido para fraudes de internet banking e que teve seu código fonte liberado no ano passado.
“Desde que o código fonte do Carberp se tornou público, temos a teoria de que não demorará muito para cibercriminosos combinarem a fonte do Carberp com a do Zeus e criar um monstro”, disseram os pesquisadores da Trusteer, Martin Korman e Tal Darsan, no blog da empresa. “Era apenas uma teoria, mas há algumas semanas encontramos amostrar da botnet ‘Andromedra’, que fazia o download desse monstro híbrido.”
O Zberp também utiliza algumas outras técnicas emprestadas do ZeusVM para permanecer no sistema e evitar a detecção, disseram os pesquisadores. O malware exclui a sua chave de registro de inicialização quando executado e a adiciona de volta quando detecta que o sistema está sendo desligado.
“De acordo com o Virus-Total, o Zberp tinha a capacidade de evitar a maioria das soluções antivírus quando foi detectado pela primeira vez”, disseram os pesquisadores da Trusteer.
Fonte: IDGNow