Zberp : une nouvelle variante de Zeus
Les chercheurs de Trusteer viennent de découvrir une nouvelle variante de Zeus, un cheval de Troie visant les institutions bancaires.
Ils l’ont baptisé Zberp. C’est le nouveau cheval de Troie découvert par les chercheurs de Trusteer, un spécialiste de la lutte contre la fraude racheté par IBM en août dernier. Les chercheurs ont ainsi nommé le logiciel malveillant parce qu’il « semble être une variante du bien connu Zeus » tout en affichant « des comportements associés à la famille de chevaux de Troie Carberp ». De fait, selon eux, Zberp semble « avoir été assemblé à partir du code source » de ces deux chevaux de Troie. Une demi-surprise, expliquent Martin Korman et Tal Darsan, dans un billet de blog : depuis que les codes sources des deux chevaux de Troie ont été diffusés dans le public, « nous pensions qu’il ne faudrait pas longtemps aux cybercriminels pour combiner Carberp et Zeux pour créer un monstre. C’était seulement une théorie, mais il y a quelques semaines, nous avons trouvé des échantillons du botnet ‘Andromeda’ téléchargeant la bête hybride ».
Evolué, Zberp collecte des données de base sur les ordinateurs infectés, mais peut également réaliser des captures d’écran, intercepter les données de formulaires ou encore des certificats SSL. Trusteer précise qu’il dispose en outre de fonctionnalités optionnelles permettant les injections Web, les attaques de type man-in-the-middle, ou encore les connexions VNC/RDP pour la prise de contrôle à distance. Enfin, pour s’assurer une certaine discrétion, Zberp efface sa clé inscrite dans le registre de Windows lors de la phase de démarrage, afin d’éviter d’être détecté lors d’une analyse système, avant de la réécrire lors de la phase d’extinction du système infecté. Et de masquer ses paramètres de configuration par stéganographie au sein d’une image JPEG représentant… le logo d’Apple.