Cibercriminales han combinado el código fuente de la botnet Zeus (Zbot) con el de Carberp, para crear una amenaza más agresiva destinada al robo de información, que ha atacado a 450 instituciones financieras en el mundo, principalmente en Estados Unidos, Reino Unido y Australia.
Trusteer, compañía de IBM, nombró al nuevo troyano Zberp a raíz de la combinación de los dos nombres. El código fuente de Zeus fue filtrado al público en 2011, mientras que el de Carberp fue puesto en venta el año pasado. Grupos de cibercriminales los utilizan para crear variantes que pueden incluir nuevas características, destinadas a la obtención de rédito económico.
Zberp recolecta información de la computadora infectada, incluyendo nombre y dirección IP. Puede tomar capturas de pantalla y enviarlas al atacante, robar datos ingresados en formularios HTTP que envían información sin cifrar, certificados SSL de usuario e incluso credenciales de cuentas FTP y POP. Además, incluye funcionalidades opcionales que habilitan inyecciones web dinámicas, ataques Man In The Middle (MITM) o Man In The Browser (MITB) y conexiones VNC/RDP. Sumado a sus capacidades maliciosas, este troyano usa una combinación de técnicas de evasión que heredó de Zeus y Carberp, que lo hacen difícil de detectar y remover.
También puede utilizar la técnica conocida como esteganografía para embeber código en un formato que intenta ocultarse y saltear controles de seguridad.
En una entrevista con SC Magazine, Dana Tamir, Directora de Seguridad Corporativa de Trusteer, dijo que el troyano se ha estado propagando a través de la botnet Andrómeda. "Es usado como un dropper que propaga malware para infectar otros endpoints", explicó, y agregó que un desarrollo como este era esperable: "Los creadores de malware continúan fortaleciendo sus capacidades para crear troyanos más sofisticados, y esto no parará en el futuro cercano".
