Zberp, un cheval de Troie combinant des caractéristiques de Zeus et Carberp (deux malwares spécialisés dans les attaques contre les sites de banque en ligne), menace les clients de nombreux sites de banque en ligne dans le monde. Selon les chercheurs de Trusteer, l'éventail des fonctionnalités offertes par ce malware hybride est large. Ainsi, Zberb est capable de voler des informations sur les ordinateurs infectés, comme leurs adresses IP et leurs noms, peut effectuer des captures d'écran et les télécharger sur un serveur distant, voler les identifiants FTP et POP3, récupérer les certificats SSL et les informations saisies dans les formulaires web, détourner les sessions de navigation et insérer du contenu malveillant dans les sites web consultés, initier des connexions distantes en utilisant les protocoles VNC (Virtual Network Computing) et RDP (Remote Desktop Protocol).

Les chercheurs de la filiale d'IBM pensent que Zberp est une variante du cheval de Troie ZeusVM, lui-même une déclinaison récente de Zeus, un malware très répandu et conçu pour cibler les banques en ligne. Son code source avait été divulgué sur les forums illégaux en 2011. Découvert en février, ZeusVM se distingue des autres malwares basés sur Zeus par son procédé stéganographique de dissimulation qui lui permet de cacher les données dans des images. Les auteurs de Zberp ont utilisé une technique similaire pour éviter au Trojan d'être détecté par les programmes antimalware. Ils peuvent notamment faire des mises à jour en intégrant les données de configuration dans une image du logo d'Apple.

Un Trojan qui échappe aux anti-virus 

Cette menace utilise également des techniques d'hameçonnage empruntées semble-t-il à Carberp, pour contrôler le navigateur. Le code source du Trojan Caberp, également conçu pour pirater les sites de banque en ligne, avait été divulgué l'an dernier. « Quand le code source du cheval de Troie Carberp a été livré au public, nous avions émis l'hypothèse que les cybercriminels ne mettraient pas longtemps à combiner le code source de Carberp avec celui de Zeus pour créer un monstre », ont déclaré la semaine dernière dans un blog Martin Korman et Tal Darsan, les deux chercheurs de Trusteer. « Notre hypothèse s'est confirmée, puisqu'il y a quelques semaines, nous avons trouvé des échantillons du botnet « Andromeda » qui téléchargeaient ce monstre hybride ».

« Zberp utilise aussi d'autres techniques empruntées à ZeusVM pour échapper à la détection et assurer sa durabilité », ont ajouté les chercheurs. Le programme malveillant supprime sa clé de registre de démarrage quand il tourne et la recrée quand il détecte un arrêt du système. Un scan réalisé par Virus-Total a montré que « le Trojan Zberp parvient à échapper à la plupart des solutions antivirus quand il est détecté pour la première fois », ont ajouté les chercheurs de Trusteer.