Ilmuwan dari Trusteer baru-baru ini menemukan jenis Trojan terbaru yang menargetkan serangan terhadap 450 institusi keuangan di seluruh dunia terutama yang berada di Amerika Serikat, Inggris Raya dan Australia. Seperti yang dirilis dari securityintelligence.com pada Kamis (22/05/14) , trojan terbaru ini kelihatannya merupakan varian terbaru dari Trojan yang cukup terkenal, Zeus Trojan atau Zbot. Trojan ini juga mendemonstrasikan perilaku yang mirip dengan keluarga Carberp Trojan. Karena itu Trojan ini dinamakan Zberp.
Menurut analis yang berhubungan dengan ilmuwan dari Trusteer Martin G.Korman dan Tal Darsan, Trojan ini terbentuk dari kebocoran sumber kode dari Trojan yang cukup terkenal yaitu Zeus dan Carberp. Sumber kode Zeus diperkenalkan ke publik pada tahun 2011 dan telah digunakan oleh kelompok kejahatan yang merubah cara kerja dan mengembangkan fitur terbaru dari Trojan ini. Untuk Trojan Carberp telah diperjualbelikan sejak tahun lalu.
Sejak sumber kode Trojan Carberp bocor ke publik, kita memiliki teori bahwa tidak membutuhkan waktu yang lama bagi penjahat siber untuk mengkombinasikan sumber kode Carberp dan Zeus untuk menciptakan monster jahat Korman dan Darsan menjelaskan.
Ini hanya teori, tetapi beberapa minggu yang lalu kita menemukan sampel dari botnet Andromeda yang telah men-download apa yang disebut sebagai hybrid beast. lanjut Korman dan Darsan.
Zberp memungkinkan penjahat siber untuk mendapatkan informasi dasar tentang komputer yang terinfeksi termasuk nama komputer, IP dan lainnya. Bahkan Trojan ini bisa mengambil gambar layar dan mengirimkan kepada penyerang. Zberp dapat mencuri data yang disimpan dalam bentuk HTTP, sertifikat pengguna SSL dan bahkan FTP dan akun kredensial POP. Trojan ini juga dilengkapi fitur opsional yang memungkinkan injeksi situs, serangan MITB/MITM dan koneksi VNC/RDP.
Zberp menggunakan kombinasi teknik penghindaran yang diwarisi dari Trojan Zeus dan Carberp. Zberp juga menggunakan fitur invisible persistence yang juga digunakan pada Trojan Zeus yang dapat menghapus persistence key dari registrasi yang terdapat pada proses startup Windows yang digunakan untuk solusi keamanan yang terdeteksi dari pemindaian sistem normal yang mengambil tempat sistem boot.
Trojan ini juga dapat menyembunyikan kode konfigurasi dari file gambar steganografi, sebuah teknik yang digunakan pencipta malware untuk menanamkan kode pada sebuah format file yang kelihatan resmi dan dapat dijadikan jalan pintas bagi pendeteksi penghapus malware.
Sumber kode Trojan Carberp berkontribusi kepada Trojan Zberp bisa dilihat pada teknik pancing, yang sering digunakan oleh pengembang malware untuk mengontrol browser, mengumpulkan kunci stroke dan mencuri informasi. Trojan ini juga dapat mengumpulkan malware yang tidak terlihat, yang tidak terdeteksi oleh anti virus atau perangkat anti malware.
Teknik penghindaran yang ditanam pada Zberp adalah pada penggunaan SSL yang mengamankan komunikasi dengan server pengaturan dan pemberi perintah dan menghindari deteksi dari produk keamanan jaringan. Menurut pemindaian yang Virus-Total , Trojan Zberp bisa menghindari banyak anti virus ketika dideteksi pertama kali.
Menurut analis yang berhubungan dengan ilmuwan dari Trusteer Martin G.Korman dan Tal Darsan, Trojan ini terbentuk dari kebocoran sumber kode dari Trojan yang cukup terkenal yaitu Zeus dan Carberp. Sumber kode Zeus diperkenalkan ke publik pada tahun 2011 dan telah digunakan oleh kelompok kejahatan yang merubah cara kerja dan mengembangkan fitur terbaru dari Trojan ini. Untuk Trojan Carberp telah diperjualbelikan sejak tahun lalu.
Sejak sumber kode Trojan Carberp bocor ke publik, kita memiliki teori bahwa tidak membutuhkan waktu yang lama bagi penjahat siber untuk mengkombinasikan sumber kode Carberp dan Zeus untuk menciptakan monster jahat Korman dan Darsan menjelaskan.
Ini hanya teori, tetapi beberapa minggu yang lalu kita menemukan sampel dari botnet Andromeda yang telah men-download apa yang disebut sebagai hybrid beast. lanjut Korman dan Darsan.
Zberp memungkinkan penjahat siber untuk mendapatkan informasi dasar tentang komputer yang terinfeksi termasuk nama komputer, IP dan lainnya. Bahkan Trojan ini bisa mengambil gambar layar dan mengirimkan kepada penyerang. Zberp dapat mencuri data yang disimpan dalam bentuk HTTP, sertifikat pengguna SSL dan bahkan FTP dan akun kredensial POP. Trojan ini juga dilengkapi fitur opsional yang memungkinkan injeksi situs, serangan MITB/MITM dan koneksi VNC/RDP.
Zberp menggunakan kombinasi teknik penghindaran yang diwarisi dari Trojan Zeus dan Carberp. Zberp juga menggunakan fitur invisible persistence yang juga digunakan pada Trojan Zeus yang dapat menghapus persistence key dari registrasi yang terdapat pada proses startup Windows yang digunakan untuk solusi keamanan yang terdeteksi dari pemindaian sistem normal yang mengambil tempat sistem boot.
Trojan ini juga dapat menyembunyikan kode konfigurasi dari file gambar steganografi, sebuah teknik yang digunakan pencipta malware untuk menanamkan kode pada sebuah format file yang kelihatan resmi dan dapat dijadikan jalan pintas bagi pendeteksi penghapus malware.
Sumber kode Trojan Carberp berkontribusi kepada Trojan Zberp bisa dilihat pada teknik pancing, yang sering digunakan oleh pengembang malware untuk mengontrol browser, mengumpulkan kunci stroke dan mencuri informasi. Trojan ini juga dapat mengumpulkan malware yang tidak terlihat, yang tidak terdeteksi oleh anti virus atau perangkat anti malware.
Teknik penghindaran yang ditanam pada Zberp adalah pada penggunaan SSL yang mengamankan komunikasi dengan server pengaturan dan pemberi perintah dan menghindari deteksi dari produk keamanan jaringan. Menurut pemindaian yang Virus-Total , Trojan Zberp bisa menghindari banyak anti virus ketika dideteksi pertama kali.