Zaledwie dwa miesiące po tym jak międzynarodowe firmy połączyły siły, żeby zlikwidować botnet Gameover Zeus, naukowcy odkryli dwa nowe warianty złośliwego oprogramowania. Zaledwie dwa miesiące po tym jak międzynarodowe firmy połączyły siły, żeby zlikwidować botnet Gameover Zeus, naukowcy odkryli dwa nowe warianty złośliwego oprogramowania.
Według Bitdeferent Labs, oba warianty używają algorytmu generacji domeny (DGA), technik zaciemniania kodu, których używali we wcześniejszych wersjach finansowego malware Gameover.
W środę na blogu Bitdefender można było przeczytać, że jeden z wariantów użycia DGA ma największy wpływ na użytkowników z USA, gdzie wykryto 5000 maszyn, które odpowiadały na zawołania botnetu. Drugi wariant zaatakował przede wszystkim użytkowników Ukrainy (1 854 maszyn) i Białorusi (1 192 maszyn).
DGA jest metodą, która pozwala na wygenerowanie na zainfekowanej maszynie listy nazw domen, przez które może się komunikować z centrum kontroli, a tym samym ukryć infrastrukturę botnetu. Bitdefender śledzi infekcje poprzez sinkholing pięciu domen, przez pięć dni dla każdego z botnetów.
W poniedziałek, Bogdan Botezau analityk e-zagrożeń w firmie Bitdefender, powiedział – SCMagazine.com, że „bardzo szybko” Gameover się odradza i może stać się o wiele bardziej powszechny niż sugerują oszacowania. To jest tylko stosunkowo niewielki procent tego, co się dzieje. Nie jestem pewien, czy wszystkie zakażone komputery zostały włączone w międzyczasie by połączyć się z naszą sinkhole” Botezato powiedział. „Sinkholing domen działa tak, że widzimy komputery, które próbują się połączyć z centrum dowodzenia botnetu.
Obecnie wydaje się, że twórcy Gameover starają się zadbać o jak najlepszą jakość oprogramowania, przed zaprogramowaniem botnetu tak, by prowadził do szkodliwych aktywności, takich jak kradzież poświadczeń bankowych lub rozprzestrzeniania innych szkodliwych programów.
W czerwcu, federalni prokuratorzy ujawnili 14 oskarżeń przeciw podejrzanemu administratorowi botnetu – Eveniy Bogachev. Został on oskarżony o rozpowszechnianie ransomware Cryptolocker poprzez infrastrukturę Gameover.
– Nawet jeśli atakujący nie robią oszustw w bankach internetowych, mogą nadal użyć go by wgrać inne rzeczy… to był preferowany mechanizm do dostarczenia Cryptolocker. – Dodał Botezatu.
Wieści z firmy Bitdefender pojawiły się, gdy rzekomo inny z przestępców próbował wskrzesić Gameover Zeus botnet. W zeszłym miesiącu, naukowcy z Malovery zidentyfikowali nowe fragmenty złośliwego oprogramowania, ściśle oparte na kodzie Gameover Zeus, który był dostarczany przez wiadomości phishingowe rzekomo legalnych banków. Ten wariant również używał nowej listy DGA w celu ukrycia komunikacji.