Los investigadores de seguridad revelaron la semana pasada que el código fuente del famoso malware Carberp se vendía en varios foros de hackers. Algunos de los vendedores que pusieron a disposición el código lo hicieron dentro de un archivo protegido con contraseña.
Ahora también se publicó la contraseña y varios investigadores ya han confirmado que el código fuente es genuino y que aún contiene el bootkit Carberp.
"El paquete también incluye el bootkit Carberp, junto con otros códigos fuente de lo que parece ser, por ejemplo, Stone bootkit, Citadel, Ursnif, etc. El paquete se está analizando en detalle en este momento, pero también encontramos varios archivos de texto que contienen chats privados y varios nombres de usuario y contraseñas de varios servidores FTP", explicó Peter Kruse de CSIS en una entrada de blog.
Cuando el código fuente de ZeuS se filtró hace unos años, varios grupos de cibercrimen comenzaron a modificarlo para añadir nuevas funcionalidades. Los expertos creen que esto ocurrirá también con Carberp.
El código fuente todavía está siendo investigado, pero Kruse ha declarado para ThreatPost que se parece al código fuente completo. Sin embargo, el experto destaca que es difícil afirmar si hay una versión más reciente del malware.
"No es fácil recorrer este código, pero el código que hemos probado compila bien y funciona, aunque debido al tamaño y a la complejidad toma tiempo – incluso para un revisor experto código – recorrer todo el código fuente", declaró Kruse para ThreatPost.
Mientras tanto, los investigadores de la empresa rusa de investigaciones de delitos informáticos Group-IB también analizaron el código y confirmó a Computerworld que la fuga es real.
Ellos afirman que si bien el código fuente de Carberp es completo, el código fuente del módulo bootkit es sólo parcial.
http://news.softpedia.es/Filtrado-el-codigo-fuente-del-malware-Carberp-363460.html