Povratak malvera GameOver Zeus: Posle policijske intervencije i kratke pauze stvara se nova bot mreža

Vesti, 15.08.2014, 09:11 AM

Nije trebalo mnogo vremena posle velike policijske akcije protiv bot mreže stvorene pomoću malvera Gameover Zeus da se pojavi nova verzija malvera nazvana newGOZ koja je već postigla značajan uspeh u izgradnji nove bot mreže.

Istraživanje koje je objavila kompanija Arbor Networks pokazuje kako su sajber kriminalci koji stoje iza bot mreže GameOver Zeus, koja je krajem maja demontirana koordinisanom akcijom policija brojnih zemalja uz tehničku pomoć privatnih kompanija, uspeli da obnove bot mrežu sa najmanje 12353 jedinstvenih IP adresa iz celog sveta.

Stručnjaci Arbor Networksa su periodično pratili aktivnosti nove verzije malvera tokom deset dana, između 18. i 19. jula. Oni su uočili rast broja infekcija u SAD, sa 8494 IP adresa koje pokušavaju da se povežu sa domenima koji su pod njihovom kontrolom, da bi dobili instrukcije sa servera za komandu i kontrolu.

“Stabilan rast newGOZ malvera pokazuje otpornost napadača koji žele da zadrže svoju bot mrežu aktivnom”, kažu iz Arbor Networksa. Stručnjaci ove kompanije smatraju da su prekidi u radu bot mreža uzrokovani policijskim operacijama samo privremeni i da će bot mreža newGOZ nastaviti da raste u budućnosti sve dok nadležni organi ne procesuiraju odgovorne za njeno stvaranje i delovanje.

U policijskoj akciji krajem maja, kojom su koordinisali FBI i Europol, zaplenjeni su serveri i domeni čime je prekinuto delovanje ne samo bot mreže GameOver Zeus, već je zaustavljeno i širenje kripto-malvera CryptoLocker.

GameOver Zeus je potekao od čuvenog bankarskog trojanca Zeus. Za razliku od svog starijeg brata, GameOver je sve do nedavno koristio decentralizovanu peer to peer arhitekturu čime je borba protiv bot mreže bila veoma otežana. Ta arhitektura omogućava da se komande šalju od i ka pojedinačnim botovima a ne sa servera za komandu i kontrolu.

GameOver Zeus je, kao i drugi bankarski malveri, korišćen za prevare i krađu bankarskih kredencijala sa zaraženih računara žrtava.
Ubrzo posle pomenute policijske akcije, istraživači Seculerta primetili su da je nova verzija malvera, newGOZ, napustila peer-to-peer arhitekturu koju je koristila originalna pretnja i usvojila DGA (domain generation algorithm) tehniku koja podrazumeva periodično generisanje velikog broja imena domena koji su neznatno drugačije varijacije datog imena domena.

To je omogućilo istraživačima Arbor Networksa da predvide koji će domeni biti korišćeni u budućnosti i da ih registruju pre kriminalaca kako bi mogli da preusmere saobraćaj malvera ka njihovim serverima da bi pratili rast bot mreže.

“Kada su domeni registrovani, nove newGOZ infekcije se čekiraju na našim serverima kao što smo i očekivali. Mogli smo da beležimo jedinstvene IP adrese povezane sa infekcijama i da odredimo koje lokacije su najteže pogođene.”

25. jula istraživači su zabeležili najviše infekcija, registrujući 8494 žrtava, od kojih su sve bile iz SAD. Taj porast od 1879% je usledio posle masovne spam kampanje tokom koje se distriburiao newGOZ a za šta je zaslužna bot mreža Cutwail.

Najteže pogođene zemlje su SAD sa 44% infekcija, Indija sa 22% i Velika Britanija sa 10%.

U ovom trenutku, kako kažu istraživači, sajber kriminalci se ne bave krađom novca već samo izgradnjom snažne bot mreže.

Preporučene mere za zaštitu od newGOZ malvera su:

• Ne otvarajte atačmente u emailovima koje dobijete od nepoznatih;

• Ne prijavljujte se na sajtove banaka sa nesigurnih računara;

• Ažurirajte redovno softver kao što je Java, Adobe Flash i Adobe Reader, jer nove verzije softvera sadrže važne ispravke za bezbednosne propuste.