• Tweet

La posición del infame troyano Zeus puede ser usurpada por un nuevo ataque, el cual es desconocido para cuatro de las seis mayores compañías antivirus y ya ha sido utilizado por un grupo criminal para vaciar cuentas bancarias a través de Europa y América.

La última encarnación del troyano Carberp posee la mayor parte de los trucos utilizados por Zeus para robar millones de dólares de cuentas bancarias en todo el mundo, y tiene como objetivos a los más populares sistemas operativos y también navegadores web, como Windows 7 de Microsoft, Vista y XP, así como Internet Explorer y Mozilla Firefox.

También trata de buscar y destruir o inhabilitar la cuenta bancaria para sus rivales troyanos de robo, incluyendo a Zeus. Sin embargo, no se sabe si el malware posee la capacidad de eliminar el malware.

Las empresas de seguridad aún no llegan a un acuerdo sobre las características de Carberp. Para algunas empresas de seguridad Carberp se considera un derivado de Zeus. Existen variantes menos perjudiciales de Carberp incluyendo descargadores de malware y troyanos genéricos, pero esta última instancia es considerada el primer troyano bancario de este tipo totalmente capaz.

"Carberp es diferente. Es muy, muy sofisticado y espero que las tasas de infección sean las mismas que con Zeus," dijo Andreas Baumhof, co-fundador y director de tecnología de seguridad de la firma bancaria de autenticación TrustDefender. Dijo que el troyano es aún desconocido para la gran mayoría de las compañías antivirus.

"Sin embargo, Zeus tiene una red de distribución mucho más grande, razón por la cual Carberp está bajo el radar y se utiliza sólo en los ataques dirigidos".

La infección podría extenderse rápidamente a otras naciones con una pequeña modificación al archivo de configuración del troyano, dijo Baumhof.

La rama de investigación de la compañía identificó la nueva variante Carberp hace tres meses y ahora lo ha deconstruido.

Los técnicos informan que Carberp puede secuestrar la autenticación de dos factores utilizados por algunos de los bancos mejor valorados tomando prestadas las capacidades de los troyanos rivales como Zeus, Gozi y SpyEye para inyectar capas protectoras de HTML.

También se puede instalar en PCs sin necesidad de tener privilegios de administración, lo que significa que puede pasar por alto los controles de acceso más difíciles del sistema operativo de Microsoft, y tiene una capacidad rara de secuestro sofisticado de navegador que puede conquistar todo el tráfico de Internet, incluyendo la seguridad HTTPS con Extended Validation de SSL.

Desde los laboratorios

Carberp puede instalarse en una máquina sin la necesidad de acceso administrativo, pero sólo se infectan los usuarios registrados actuales y no infecta el kernel, de acuerdo con la empresa de seguridad.

"A los creadores no les importa si Carberp se retira después de un par de días, porque para entonces, ellos han hecho lo que tiene que hacer", dijo Baumhof.

Dijo que Carberp carece de la funcionalidad completa de Zeus, pero tiene el mismo "alto nivel de sofisticación".

El informe de TrustDefender sobre Carberp señala que:

* No realizará ningún cambio en el registro (sólo modificaciones en la memoria).

* Transmite los datos robados en tiempo real a un servidor de comando y control (C&C).

* Automáticamente hará algunas peticiones para descargar archivos adicionales. La primera solicitud transmitirá un identificador único del equipo hacia el servidor C&C (POST/set/ task.html con id). A continuación, solicitará una subida de todos los procesos en ejecución, incluyendo una petición POST/set/first.html, y luego inmediatamente descargará tres archivos.