La panoplie de fonctionnalités dont dispose Zberp est assez vaste : il peut collecter des informations sur les ordinateurs infectés parmi lesquelles adresse IP et noms, effectuer une capture d’écran et l’envoyer à un serveur distant, voler les identifiants FTP et POP3, récupérer les certificats SSL et les informations saisies dans les formulaires web, détourner les sessions de navigation et insérer du contenu malveillant dans les sites web consultés, initier des connexions distantes en utilisant les protocoles VNC (Virtual Network Computing) et RDP (Remote Desktop Protocol).
Pour les chercheurs de Trusteer, il s’agit là d’une variante du cheval de Troie ZeusVM lui-même une variante de Zeus dont le code source avait été partagé sur des forums illégaux. ZeusVM qui a été découvert en février se distingue des autres déclinaisons du malware Zeus par son procédé de stéganographie qui lui permet de dissimuler ses données de configuration dans des images. Les auteurs de Zberp ont fait appel à la même technique pour échapper à la détection des programmes antivirus. Ses mises à jour sont effectuées en intégrant des données de configuration dans une image au logo d’Apple. De plus, le Trojan utilise des techniques de hameçonnage empruntées à Carberp pour prendre le contrôle d’un navigateur.
Fichier de configuration déguisé dans une image Apple
« Quand le code source du cheval de Troie Carberp a été livré au public, nous avions émis l'hypothèse que les cybercriminels ne mettraient pas longtemps à combiner le code source de Carberp avec celui de Zeus pour créer un monstre » ont déclaré deux chercheurs de Trusteer qui ont vu leur hypothèse confirmée avec les échantillons du botnet Andromeda qui « téléchargeaient ce monstre hybride ».
Zberp fait appel à d'autres techniques empruntées à ZeusVM pour échapper à la détection par un antivirus et ainsi assurer sa durabilité. Par exemple, le programme malveillant supprime sa clé de registre de démarrage quand il tourne et la recrée quand il détecte un arrêt du système. « Un scan réalisé par Virus-Total a permis de réaliser que Zberp échappe à la plupart des solutions antivirus quand il est détecté pour la première fois » assurent les chercheurs.
Certains éditeurs n’ont pas perdu de temps et ont préparé la riposte. Hier Emsisoft affirmait sur son blog avoir une arme pour contrer Zberp ; l’utilisation d’une couche avancée de prévention malware appelée Behavior Blocking (blocage de comportement). L’outil identifie l’origine des comportements malveillants au lieu de chercher des signatures spécifiques. L'éditeur rappelle également les deux scénarios les plus probables pour faire face à Zberp : l'envoie de courriel contenant des liens malveillants ou des pièces jointes qui vont lancer le téléchargement du cheval de Troie sur votre appareil une fois que vous aurez cliqué dessus.
Source : Security Intelligence, blog Emsisoft
Et vous ?
Que pensez-vous de l'outil Behavior Blocking d'Emsisoft ? Connaissez-vous des solutions qui ont fait leurs preuves face à ZeusVM ?