Parece que um novo Cavalo de Troia bancário para computadores "pegou
emprestado" alguns recursos e funcionalidades dos conhecidos malwares
financeiros Zeus e Carberp. O novo vírus tem como alvo os usuários de
450 instituições financeiras ao redor do mundo.
A ameaça - apelidada de Zberp pelos pesquisadores da Trusteer,
subsidiária da IBM - possui uma ampla gama de recursos. O malware pode
coletar informações sobre computadores infectados incluindo endereços IP
e nomes; tirar prints da tela e enviar as imagens a servidores remotos;
roubar credenciais de FTP e POP3, certificados SSL e informações
inseridas em formulários web; sequestrar sessões de navegadores e
inserir conteúdo malicioso em sites abertos e iniciar conexões
maliciosas remotas usando protocolos VNC (Virtual Network Computing) e RDP (Remote Desktop Protocol).
Os pesquisadores da Trusteer consideram o Zberp uma variante do
ZeusVM - uma modificação recente do popular Zeus, cujo código fonte foi
liberado em fóruns arbitrários em 2011. O ZeusVM foi descoberto em
fevereiro e se destaca de outras variantes baseadas no Zeus por conta do
uso de esteganografia para ocultar dados de configuração dentro de imagens.
Os autores do Zberp usaram a mesma técnica de envio de configurações
de updates incorporadas a uma imagem que aparenta ser o logo da Apple.
Essa técnica foi usada pelo ZeusVM para evitar a detecção por programas
antimalware. No entanto, a nova versão do vírus também utiliza técnicas
de "hooking"
para controlar o navegador - e essa parece ter sido "emprestada" do
Carberp, um outro Cavalo de Troia bancário desenvolvido para fraudes de
internet banking e que teve seu código fonte liberado no ano passado.
"Desde que o código fonte do Carberp se tornou público, temos a
teoria de que não demorará muito para cibercriminosos combinarem a fonte
do Carberp com a do Zeus e criar um monstro", disseram os pesquisadores
da Trusteer, Martin Korman e Tal Darsan, no blog da empresa.
"Era apenas uma teoria, mas há algumas semanas encontramos amostrar da
botnet 'Andromedra', que fazia o download desse monstro híbrido."
O Zberp também utiliza algumas outras técnicas emprestadas do ZeusVM
para permanecer no sistema e evitar a detecção, disseram os
pesquisadores. O malware exclui a sua chave de registro de inicialização
quando executado e a adiciona de volta quando detecta que o sistema
está sendo desligado.
"De acordo com o Virus-Total, o Zberp tinha a capacidade de evitar a
maioria das soluções antivírus quando foi detectado pela primeira vez",
disseram os pesquisadores da Trusteer.
Via:IDGNow
Nenhum comentário:
Postar um comentário