Trojaner Zberp zielt auf 450 Bankinstitutionen ab
Ein neuer Trojaner, der Nutzer von 450 Finanzinstitutionen weltweit abgreift, vereint Eigenschaften der beiden Malware-Programme Zeus und Carberp. Die neue Bedrohung, welche durch Sicherheitsforscher von Trusteer „Zberp“ getauft wurde, hat eine Vielfalt an Eigenschaften. Sie sammelt Informationen über die infizierten Rechner, wie IP-Adressen und Namen, macht Screenshots und lädt sie auf einen Server, entwendet Zugriffsrechte für FTP und POP3 sowie SSL-Zertifikate und Informationen aus Web-Formularen, sie greift auf Browser-Sitzungen zu und fügt bösartigen Content in geöffnete Webseiten ein. Außerdem kann sie über VNC- und RDP-Protokolle bösartige Desktopverbindungen initiieren.
Die Trusteer-Forscher betrachten Zberp als eine Variante von ZeusVM, einer Weiterentwicklung des weit verbreiteten Zeus-Trojaners. Dessen Quellcode wurde 2011 in diversen Untergrundforen publiziert. ZeusVM wurde diesen Februar entdeckt und unterscheidet sich von anderer Zeus-basierter Malware durch die Nutzung von Steganographie, wobei sie Konfigurationsdaten in Bildern versteckt.
Die Zberp-Entwickler nutzen dieselbe Technik, um die Entdeckung durch Anti-Virenprogramme zu vermeiden. Dazu senden sie Konfigurationsupdates, die in einem Bild mit dem Apple-Logo eingebettet sind. Darüber hinaus nutzt Zberp allerdings auch Technologien zur Browserkontrolle, die von Carberp geliehen sind. Dies ist ein anderer Trojaner, der für Online-Banking-Betrug genutzt wird.
Trusteer-Forscher Martin Korman und Tal Darsan:
„Nachdem der Quellcode des Carberp-Trojaners veröffentlicht wurde, hatten wir die Theorie, dass Cyberkriminelle bald die Quellcodes von Carberp und Zeus miteinander kombinieren und ein bösartiges Monstrum erschaffen würden. Es war zwar nur eine Theorie, aber vor einigen Wochen haben wir nun Samples des Andromeda-Botnets gefunden, die den hybriden Trojaner herunterluden.“
Zberp nutzt noch eine weitere Taktik von ZeusVM, um langfristig zu bestehen und Entdeckung zu vermeiden. Die Malware löscht den Start-up-Registry-Key, sobald sie läuft, und fügt ihn wieder hinzu, wenn das System heruntergefahren wird.
„Einem Viren-Total-Scan zufolge gelang es dem Zberp-Trojaner, die meisten der Anti-Viren-Programme zu täuschen“,
so die Forscher.
Artikel von computerworld.com, 26.05.2014: New banking Trojan ‚Zberp‘ offers the worst of Zeus and Carberp