Zberp heeft een uitgebreide set aan functionaliteit. Onder de gevoelige informatie die de trojan kan stelen zitten IP-adressen, SSL-certificaten, FTP- en POP3- credentials en ingevoerde informatie van webformulieren. Maar er is meer. Ook browsersessies kunnen worden gekaapt, valse remote desktop sessies gestart via VNC en RDP en screenshots genomen en naar een server op afstand gestuurd.

Bekende technieken

Toch richt de nieuw ontwikkelde trojan richt zich volgens IBM's beveiligingsbedrijf Trusteer vooral op gebruikers van 450 niet nader genoemde financiële instellingen, met name in de Verenigde Staten, het Verenigde Koninkrijk en Australië. Zberp is een modificatie van de in februari ontdekte Zeus-variant ZeusVM. Die in JPG-plaatjes verstopte malware (zogeheten steganografie) mikt onder meer op klanten van de Rabobank en ING.

De makers van Zberp gebruiken dezelfde techniek. Die is bedoeld om detectie door anti-malware programma's te vermijden. Wanneer de trojan een configuratie-update stuurt, zit deze verschuilt achter het bekende Apple-logo.

Maar de moderne trojan zet ook hooking-technieken in om controle te krijgen over de browser. Deze zijn volgens Trusteer rechtstreeks afgeleid van Carberp, een andere veelvuldig genoemde trojan die gaten in bankbeveiligingssoftware misbruikt. De broncode van Carberp lekte vorig jaar uit.

Hybride beest

"Sindsdien hadden wij een theorie dat het niet lang kon duren voordat cybercriminelen deze zouden combineren met de Zeus-code tot een boosaardig monster. Dit bleef een theorie, maar enkele weken geleden vonden we samples van het Andromeda-botnet dat het hybride beest downloadde", schrijven Trusteer-onderzoekers Martin Korman en Tal Darsan.

De trojan maakt gebruik van de steganografie-techniek:

(via Trusteer)