تروجان بانكی جدید Zberp

این تروجان كه تا كنون مشتریان 450 موسسه مالی را هدف قرار داده است، تركیبی از زئوس و Carberp است.
به نظر می‌رسد كه یك تروجان جدید كه كاربران 450 موسسه مالی در سراسر دنیا را هدف قرار داده است، عملكرد و ویژگی‌های خود را مستقیماً از تروجان‌های بدنام زئوس و Carberp به ارث برده باشد.
این تهدید جدید كه توسط محققان امنیتی شركت Trusteer (زیرمجموعه آی‌بی‌ام) Zberp نام گرفته است، ویژگی‌های متنوعی دارد. این تروجان می‌تواند اطلاعاتی شامل آدرس آی‌پی و نام را در مورد سیستم‌های آلوده جمع‌آوری كند، از صفحه نمایش تصویر تهیه كرده و برای یك سرور راه دور ارسال نماید، اطلاعات اعتباری FTP و POP3، گواهینامه‌های SSL و اطلاعات وارد شده در فرم‌های وب را سرقت كند،  سشن‌های مرورگر را سرقت نماید و اقدام به قرار دادن محتوای جعلی در صفحات باز وب كند و با استفاده از پروتكل‌های VNC و RDP، ارتباط راه دور جعلی (remote desktop) برقرار نماید.
محققان Trusteer اعتقاد دارند كه Zberp یك ویرایش از ZeusVM است. ZeusVM یك ویرایش اخیر از تروجان زئوس است كه كد منبع آن در سال 2011 در فروم‌های زیرزمینی لو رفته است. ZeusVM در ماه فوریه كشف شد و با نوجه به اینكه نویسندگان آن از پنهان‌نگاری (steganography) برای پنهان كردن داده‌های پیكربندی در درون تصاویر استفاده كرده‌اند، از سایر نسخه‌های زئوس متمایز می‌گردد.
نویسندگان Zberp نیز از همین تكنیك استفاده كرده‌اند كه این بدان معناست كه از كشف شدن توسط برنامه‌های ضدبدافزار جلوگیری می‌كنند، چرا كه به‌روز رسانی‌های پیكربندی را به شكل پنهان درون یك تصویر لوگوی اپل ارسال می‌كنند. البته این تهدید جدید از تكنیك‌های hook نیز برای كنترل مرورگر استفاده می‌كند كه به نظر می‌رسد این ویژگی را از Carberp قرض گرفته باشد. Carberp نیز یك تروجان بانكی است كه كد منبع آن در سال گذشته لو رفت.
به گفته یكی از محققان Trusteer، پس از لو رفتن كد منبع Carberp به صورت عمومی انتظار می‌رفت كه در زمان كوتاهی مجرمان سایبری اقدام به تركیب كد منبع زئوس با كد منبع Carberp نمایند و یك بدافزار جدید تولید كنند.
Zberp همچنین مشابه ZeusVM كلید رجیستری خود را در هنگام اجرا حذف می‌كند و به محض اینكه شات‌داون شدن سیستم را تشخیص داد، آن را باز می‌گرداند.
بنا بر گزارش Virus-Total، تروجان Zberp در ابتدای كشف از چشم اغلب نرم‌افزارهای آنتی‌ویروس پنهان باقی می‌ماند.

درباره پارسینگ

تیم امنیت وب و تحقیقات سایبری پارسینگ با هدف اطلاع رسانی، آموزش، مشاوره، ایمن سازی و تحقیقات در حوزه امنیت سایبری در سال 1391 توسط مهندس علی اصغر جعفری لاری تاسیس گردید تا علاوه بر اهدافی همچون بالا بردن آگاهی کاربران عمومی نسبت به امنیت، مشاوره و ایمن سازی وبسایت های داخلی برای دفاع در برابر تهاجمات بیگانگان و ارائه تحقیقات سایبری روشن و شفاف برای تحقیق و توسعه پروژه ها توسط دانش پژوهان، بتواند با کسب رضایت و اعتماد مشتریان خود به عنوان یک تیم برتر در حوزه امنیت سایبری در ایران شناخته شود.  

تماس با ما

تهران، اقدسیه، میدان ازگل، کوچه نوبهار، بن بست همیشه بهار، پلاک سوم

info[at]parsing[dot]ir

22196283 21 (98)

9120268477 (98)

پارسینگ را در گوگل محبوب کنید: