Il nuovo malware, nato dalla fusione di Zeus e Carberp, è stato identificato dai ricercatori di Trusteer, che lo hanno analizzato a fondo per capirne le potenzialità.
Si chiama Zberp e ha messo nel mirino circa 450 banche di tutto il mondo. Lo hanno scoperto i ricercatori di Trusteer, società che fa parte della galassia Ibm, che lo hanno analizzato a fondo per capirne le potenzialità. Il nuovo trojan nasce dall’unione del ben conosciuto Zeus (noto anche come Zbot), che risale al 2011, e il più recente Carberp. Di entrambi riprende la caratteristiche peggiori, come le tecniche di evasione implementate per non farsi intercettare dai sistemi anti-malware. La fusione tra questi due codici non è stata una sorpresa per gli esperti, che avevano subito intuito come i criminali avrebbero potuto sfruttarne le caratteristiche.
Secondo quanto riportato da Trusteer, Zberp è in grado di impossessarsi delle informazioni di base - come il nome del computer, della rete e dell’indirizzo Ip - ma anche di catturare schermate. In più può intercettare le informazioni inviate tramite protocollo Http, i certificati Ssl dell’utente e le credenziali degli account Ftp e Pop. In opzione il codice può comprendere funzioni aggiuntive che permettono, per esempio, connessioni Vnc/Rdp o di realizzare attacchi che sfruttano le vulnerabilità dei browser o degli smartphone.
Zberp mette in atto anche alcune tecniche di evasione che ne rendono più difficile l’identificazione. La più originale prevede che il trojan cancelli la sua chiave persistente nel registro a ogni avvio di Windows per riscriverla a ogni chiusura di sessione. In questo modo il malware risulta invisibile alle scansioni antivirus. Un’altra modalità di evasione è l’utilizzo della steganografia, una tecnica grazie alla quale il codice si nasconde all’interno di quello di un file immagine riuscendo così a sfuggire ai controlli dei sistemi di sicurezza.