Filtrado el código fuente del troyano Carberp
El código fuente del troyano Carberp, que normalmente se vende por U$S40.000 en mercado negro, se ha filtrado y ya está disponible en Internet. La filtración se parece a la liberación del código fuente de crimeware Zeus hace un par de años.
El código fuente Carberp apareció en línea la semana pasada (MD5 del archivo RAR: 510666843544b66bf67a9b3d739d2f56), pero el archivo comprimido que contiene el código fuente estaba protegido por contraseña. Hoy la contraseña finalmente también se publicó. DCarberp era un kit de crimeware privado utilizado mayormente en Rusia. Varios miembros de la supuesta organización fueron detenidos en Rusia en 2012 y unos meses más tarde una versión comercial del troyano Carberp apareció en el mercado, con un precio de 40.000 dólares.
Ese precio alto controló de alguna manera que el código estuviera disponible para cualquiera pero ahora que el código fuente está disponible libremente, dará capacidad a los atacantes para robar grandes cantidades de datos sensibles de los usuarios infectados. Cuenta con un conjunto de plugins que sirven para deshabilitar aplicaciones antimalware y también es capaz de encontrar y matar a otras piezas de malware en la máquina. Las nuevas versiones del troyano Carberp también incluyen un bootkit, un conjunto de funciones que infectan PCs en el nivel más bajo y mantener la persistencia.
Al igual que con la fuga del código fuente de ZeuS, en mayo de 2011, esto significa que los delincuentes tienen todas las posibilidades de modificar e incluso añadir nuevas características al troyano. Sin dudas las liberación del código no es una buena noticia para los consumidores porque pondrá al crimeware en manos de un grupo mucho mayor de atacantes, poniendo en riesgo a más usuarios. Sin embargo, también permite a los investigadores de seguridad dar una mirada profunda al malware y su funcionamiento interno.
Actualización: el código ahora se encuentra en GIT.
Cristian de la Redacción de Segu-Info
El código fuente Carberp apareció en línea la semana pasada (MD5 del archivo RAR: 510666843544b66bf67a9b3d739d2f56), pero el archivo comprimido que contiene el código fuente estaba protegido por contraseña. Hoy la contraseña finalmente también se publicó. DCarberp era un kit de crimeware privado utilizado mayormente en Rusia. Varios miembros de la supuesta organización fueron detenidos en Rusia en 2012 y unos meses más tarde una versión comercial del troyano Carberp apareció en el mercado, con un precio de 40.000 dólares.
Ese precio alto controló de alguna manera que el código estuviera disponible para cualquiera pero ahora que el código fuente está disponible libremente, dará capacidad a los atacantes para robar grandes cantidades de datos sensibles de los usuarios infectados. Cuenta con un conjunto de plugins que sirven para deshabilitar aplicaciones antimalware y también es capaz de encontrar y matar a otras piezas de malware en la máquina. Las nuevas versiones del troyano Carberp también incluyen un bootkit, un conjunto de funciones que infectan PCs en el nivel más bajo y mantener la persistencia.
Al igual que con la fuga del código fuente de ZeuS, en mayo de 2011, esto significa que los delincuentes tienen todas las posibilidades de modificar e incluso añadir nuevas características al troyano. Sin dudas las liberación del código no es una buena noticia para los consumidores porque pondrá al crimeware en manos de un grupo mucho mayor de atacantes, poniendo en riesgo a más usuarios. Sin embargo, también permite a los investigadores de seguridad dar una mirada profunda al malware y su funcionamiento interno.
Actualización: el código ahora se encuentra en GIT.
Cristian de la Redacción de Segu-Info
Sería realmente bueno, que todos (o la mayoría) de los fabricantes de antivirus y software de seguridad, analicen esta información para reforzar proactivamente sus soluciones y no reactivamente con cada nuevo branch. Saludos!
ResponderBorrarMe podrías Facilitar la contraseña porfavor
ResponderBorrar