Οι εμπειρογνώμονες των malware στη Symantec, ανακάλυψαν ένα νέο στέλεχος του διαβόητου Carberp Trojan, σχεδιασμένο για να κλέψει τα διαπιστευτήριά τραπεζικών συστημάτων καθώς και άλλα ευαίσθητα δεδομένα από τους χρήστες.
Οι ειδικοί σε θέματα ασφάλειας της Symantec, ανακάλυψαν στις 15 Δεκεμβρίου μία νέα κακόβουλη campaign για τη διανομή του νέου αυτού στέλεχος του Carberp Trojan.
Η διαρκής εξέλιξη του Carberp, ακριβώς όπως και άλλων δημοφιλών malware, όπως του Zeus Trojan, κατέστη δυνατή αφού το source code υπήρχε διαθέσιμο σε underground sites από τον Ιούνιο του 2013.
H πρώτη spam campaign για τη διανομή της νέας έκδοσης του κακόβουλο script, που εντοπίστηκε ως Trojan.Carberp.C, βρέθηκε από τη Symantec στις 15 Δεκεμβρίου, μόλις μία ημέρα μετά την ολοκλήρωση του Trojan.
Το spam mail, που ισχυρίζεται ότι αφορά μια υπενθύμιση πληρωμής, περιλαμβάνει μια κακόβουλη σύνδεση που φαίνεται ως ένα τιμολόγιο (π.χ. τιμολόγιο. [τυχαίοι αριθμοί] _2014.12.11.doc.zip). Το Trojan dropper, είναι γεμάτο με Visual Basic scripts και είναι επισυναπτόμενο στο spam mail ως ένα.Αρχείο ZIP.
Ο Carberp.C, είναι σχεδιασμένος κυρίως για να μαζεύει διαπιστευτήριά τραπεζικών στοιχείων και άλλες ευαίσθητες πληροφορίες, αλλά αυτή η παραλλαγή περιλαμβάνει επίσης μια συλλογή από plugins που μπαίνουν σε μια νεοσυσταθείσα διαδικασία (svchost.exe), ώστε να δώσουν περαιτέρω δυνατότητες στον εισβολέα.
Ένα από τα plugin που εξετάστηκαν από τους ερευνητές, είναι ικανό να κλέψει τα ευαίσθητα δεδομένα από προγράμματα περιήγησης στο web του θύματος. Η νέα παραλλαγή εμφανίζεται πολύ αποτελεσματική, και μπορεί να μολύνει 32-bit και 64-bit συστήματα και περιλαμβάνει plugins για αρκετές αρχιτεκτονικές CPU.
Μόλις το θύμα ανοίγει το αρχείο ZIP, το dropper εγχέει κώδικα σε διαδικασία των Windows, και αποκρυπτογραφεί και αποσυμπιέζει ενσωματωμένα modules 32-bit ή 64-bit, ανάλογα με τον τύπο του λειτουργικού συστήματος.
