Malware passa por antivírus e rouba dados bancários

Por Redação | 27 de Maio de 2014 às 15h42

Um vírus aparentemente novo atacou recentemente 450 instituições bancárias ao redor do mundo. A ameaça recebeu o apelido de Zberp, por ter características de malwares financeiros já conhecidos, o Zeus e o Carberp.

O programa malicioso pode coletar informações sobre computadores infectados incluindo endereços IP, nomes e screenshots para enviá-los a servidores remotos. Pode também roubar credenciais POP3 e FTP, certificados SSL e informações coletadas a partir de formulários web. Consegue ainda sequestrar informações de navegadores, inserir conteúdo contaminado em sites abertos e iniciar conexões maliciosas remotas usando protocolos VNC (Virtual Network Computing) e RDP (Remote Desktop Protocol).

Martin Korman e Tal Darsan, pesquisadores da Trusteer, uma subsidiária da IBM, acreditam que o Zberp seja uma modificação do ZeusVM, trojan que teve seu código fonte liberado em fóruns 3 anos atrás. "Desde que o código fonte do Carberp se tornou público, tínhamos a teoria de que não demoraria muito para cibercriminosos combinarem a fonte do Carberp com a do Zeus e criarem um monstro. Era apenas uma teoria, mas há algumas semanas encontramos amostras da botnet 'Andromedra', que fazia o download desse monstro híbrido", declararam os especialistas ao SecurityIntelligence.

O ZeusVM usa esteganografia para ocultar dados de configurações dentro de imagens. Os autores do Zberp utilizaram o mesmo procedimento em uma imagem que se parecia com a logomarca da Apple. Utilizaram também outras ações conhecidas do ZeusVM para permanecerem no sistema sem serem detectados, bem como técnicas de hooking para controlar o navegador, sendo esta última uma característica do Carberp. Segundo os pesquisadores, o malware tinha capacidade para burlar todos os antivírus desde sua primeira ocorrência.

Inscreva-se em nosso canal do YouTube!

Análises, dicas, cobertura de eventos e muito mais. Todo dia tem vídeo novo para você.