Trojanac Gameover Zeus se vratio

Posle velike policijske akcije protiv masovne bot mreže Gameover Zeus početkom juna, u kojoj je učešće uzelo i nekoliko privatnih kompanija, sajber kriminalci sada pokušavaju da stvore novu bot mrežu zasnovanu na malveru koji je po svemu sudeći modifikovana verzija trojanca Gameover Zeus.

v1_9293_GZ

Gameover Zeus je malver koji je dizajniran da krade korisnička imena i lozinke, kao i druge privatne i finansijske informacije od korisnika prilikom prijavljivanja na sajtove banaka i druge popularne web sajtove.

Prema podacima američkog FBI, koji je učestvovao u akciji protiv bot mreže Gamover Zeus, ovaj trojanac je do sada zarazio više od milion računara širom sveta i prouzrokovao štetu koja je procenjena na više od 100 miliona dolara.

Akcija protiv bot mreže Gameover Zeus zahtevala je posebne tehnike i pomoć kompanija koje se bave bezbednošću, jer za razliku od većine drugih trojanskih programa, koji koriste ograničeni broj servera i domena za komandu i kontrolu, Gameover ima peer-to-peer arhitekturu.

Malver takođe ima backup mehanizam koji se oslanja na DGA (domain name generation algorithm) da bi osigurao da kompjuteri mogu primati komande čak i kada su isključeni sa peer-to-peer mreže. Pomoću ovog mehanizma malver generiše nasumična imena domena u određenim vremenskim intervalima i pokušava da im pristupi. Napadači su mogli da predvide koja će imena domena botovi generisati određenog dana i unapred registrovati jedan od njih da bi poslali komande.

Prošle nedelje, istraživači iz Malcovery Security primetili su nekoliko spam kampanja kojima se distribuira trojanac koji je, kako izgleda, u velikoj meri zasnovan na kodu malvera Gameover Zeus. Ovaj novi malver se više ne oslanja na peer-to-peer infrastukturu i koristi DGA kao primarni komandno-kontrolni mehanizam.

Istraživači tvrde da je mutant malvera Gameover Zeus nov jer je jedan od domena za C&C aktivnosti registrovan u četvrtak, 10. jula, u Kini, i da je još uvek aktivan.

Spam emailovi kojima se distribuira novi Gameover Zeus su navodna obaveštenja banaka koja sadrže atačment, koji kada se otvori, izvršava payload i započinje komunikaciju sa C&C serverima da bi dobio instrukcije za dalje delovanje.

Istraživači iz firme Malcovery Security kontaktirali su FBI i DellSecureWorks koji su učestvovali u junskoj operaciji nazvanoj „Tovar“ protiv originalnog malvera Gameover Zeus i dobili potvrdu da su C&C serveri korišćeni za tu bot mrežu još uvek pod njihovom kontrolom.

U saopštenju američkog ministarstva pravde se kaže da su svi ili skoro svi računari koji su bili zaraženi malverom Grameover Zeus oslobođeni iz ruku sajber kriminalaca i da sada isključivo komuniciraju sa zamenskim serverom, koji je odobrio sud.

Povratak malvera Gameover Zeus ne bi trebalo da bude preveliko iznenađenje jer je izvorni kod malvera još uvek u rukama sajber kriminalaca. Ovo otkriće ukazuje da kriminalci odgovorni za distribuciju Gameover Zeusa ne namerevaju da odustanu od ovog malvera, kažu stručnjaci.

izvor: http://www.informacija.rs