حمله تروجان بانکی جدید Zberp به مشتریان

به نقل از مرکز ماهر؛ این تهدید جدید كه توسط محققان امنیتی شركت Trusteer (زیرمجموعه آی‌بی‌ام) Zberp نام گرفته است، ویژگی‌های متنوعی دارد. این تروجان می‌تواند اطلاعاتی شامل آدرس آی‌پی و نام را در مورد سیستم‌های آلوده جمع‌آوری كند، از صفحه نمایش تصویر تهیه كرده و برای یک سرور راه دور ارسال کند، اطلاعات اعتباری FTP و POP3، گواهینامه‌های SSL و اطلاعات وارد شده در فرم‌های وب را سرقت كند، سشن‌های مرورگر را سرقت کند و اقدام به قرار دادن محتوای جعلی در صفحات باز وب كند و با استفاده از پروتكل‌های VNC و RDP، ارتباط راه دور جعلی (remote desktop) برقرار کند.

محققان Trusteer اعتقاد دارند كه Zberp یك ویرایش از ZeusVM است. ZeusVM یك ویرایش اخیر از تروجان زئوس است كه كد منبع آن در سال 2011 در فروم‌های زیرزمینی لو رفته است. ZeusVM در ماه فوریه كشف شد و با نوجه به اینكه نویسندگان آن از پنهان‌نگاری (steganography) برای پنهان كردن داده‌های پیكربندی در درون تصاویر استفاده كرده‌اند، از سایر نسخه‌های زئوس متمایز می‌گردد.

نویسندگان Zberp نیز از همین تكنیک استفاده كرده‌اند كه این بدان معناست كه از كشف شدن توسط برنامه‌های ضدبدافزار جلوگیری می‌كنند، چرا كه به‌روز رسانی‌های پیكربندی را به شكل پنهان درون یک تصویر لوگوی اپل ارسال می‌كنند. البته این تهدید جدید از تكنیك‌های hook نیز برای كنترل مرورگر استفاده می‌كند كه به نظر می‌رسد این ویژگی را از Carberp قرض گرفته باشد. Carberp نیز یك تروجان بانكی است كه كد منبع آن در سال گذشته لو رفت.

به گفته یكی از محققان Trusteer، پس از لو رفتن كد منبع Carberp به صورت عمومی انتظار می‌رفت كه در زمان كوتاهی مجرمان سایبری اقدام به تركیب كد منبع زئوس با كد منبع Carberp کنند و یک بدافزار جدید تولید كنند.

Zberp همچنین مشابه ZeusVM كلید رجیستری خود را در هنگام اجرا حذف می‌كند و به محض اینكه شات‌داون شدن سیستم را تشخیص داد، آن را باز می‌گرداند. بنا بر گزارش Virus-Total، تروجان Zberp در ابتدای كشف از چشم اغلب نرم‌افزارهای آنتی‌ویروس پنهان باقی می‌ماند.