Independientemente de lo que se dice sobre los autores de malware, al final se vuelve cada vez más claro que están aprendiendo de sus errores y adaptándose a las nuevas tácticas defensivas a un ritmo cada vez más rápido. El último ejemplo de esto es el descubrimiento reciente de una versión del malware Carberp, que ahora incluye un esquema de cifrado y mejora de sus capacidades administrativas.
Carberp es una pieza un tanto oscura de malware – al menos en relación a los favoritos de los medios, como Zeus y Clampi. Pero los autores detrás de Carberp han estado ajustando y perfeccionando la capacidad del malware en los últimos meses, y una nueva versión del troyano hace parecer más difícil que los usuarios puedan defenderse de ella. La versión original de Carberp era sólo un tipico troyano diseñado para robar los datos sensibles de los usuarios, tales como credenciales de banca en línea o nombres de usuario y contraseñas para otros sitios de alto valor. Todo el tráfico que era enviado de nuevo al servidor de mando y control estaba en el claro. Simple y sencillo.
Pero a medida que los creadores del malware han aprendido de lo que funcionó y lo que no, ajustan sus tácticas, de acuerdo con un análisis realizado por investigadores de Seculert. La próxima variante de Carberp presumía un par de plug-ins, que remueven el software anti-malware y otra que intenta matar a otras piezas de malware que se encuentran en una computadora infectada.
Pero los ajustes realmente interesantes aparecieron en la versión más reciente de Carberp, que llegó a los investigadores de Seculert en días recientes. El último lanzamiento incluye la capacidad de cifrar todo el tráfico entre las máquinas infectadas y el servidor C&C (servidor de mando y control).
“La parte interesante es que la clave RC4 se genera aleatoriamente y se envía como parte de la solicitud HTTP. Esta es la primera vez que nos hemos encontrado con ese comportamiento. Por ejemplo, otro tipo de malware, como Zeus, sólo se usa una clave RC4 que se inserta dentro del propio programa malicioso”, dice el análisis de Seculert. “Aunque la nueva versión de Carberp envía información sobre los procesos que se ejecutan en la máquina infectada a los servidores C&C, como en versiones anteriores, ahora también comprueba si se ha instalado software antivirus en el equipo”.
La difusión de Carberp está principalmente en Rusia en estos momentos, pero muchos de los más exitosos Troyanos bancarios y las piezas de malware para robo de información tienen como objetivo un país específico y luego pasan a propagarse a otros países con el paso del tiempo. No hay que sorprenderse de ver una evolución similar de Carberp.
Fuente: Threatpost
