Исследователи из Trusteer сообщили о новом банковском трояне Zberp, который уже успел инфицировать системы 450 финансовых организаций по всему миру. Его главной особенностью является то, что он объединяет в себе функционал такого известного опасного вредоносного ПО как Zeus и Carberp.

«С тех пор, как исходный код трояна Carberp утек в сеть и стал доступным общественности, у нас появилась мысль о том, что у киберпреступников не займет много времени объединить код Carberp с кодом Zeus и создать троян, - заявили исследователи из Trusteer Мартин Корман (Martin Korman) и Тал Дарсан (Tal Darsan). - Это было всего лишь предположением, однако несколько недель назад мы обнаружили образцы ботнета Andromeda, загружающего этот гибрид».

Zberp способен похищать информацию об инфицированном компьютере (в том числе имя и IP-адрес), делать скриншоты и отправлять их на удаленный сервер, похищать данные FTP и POP3, SSL-сертификаты, информацию, которую пользователь вводит при заполнении каких-либо форм online, взламывать сессии браузера и внедрять контент на открытые web-сайты, а также инициировать удаленное соединение с использованием протоколов VNC и RDP.

Исследователи предположили, что Zberp является вариантом ZeusVM - обнаруженной в феврале модификации Zeus. ZeusVM отличается от остальных модификаций трояна тем, что прячет информацию о конфигурации в изображениях. Эту же технику, позволяющую обходить обнаружение антивирусным ПО, используют авторы Zberp. Они отправляют обновления конфигурации, встроенные в изображение с логотипом Apple. Тем не менее, Zberp использует те же мошеннические техники для получения контроля над браузером, что и Carberp.

По словам экспертов, на момент обнаружения Zberp мог обойти большинство антивирусных решений.