Zeus é uma família de malware frequentemente encontrada por conta de sua popularidade entre os grupos de hackers. Desde o vazamento do código fonte de Zeus em 2011, muitas variantes apareceram. Uma dessas variantes é a "GameOver", que recentemente foi reportada pela mídia depois da descoberta de sua infraestrutura pelas autoridades. A rede Webense ThreatSeeker Intelligence Cloud proativamente monitora especificamente esse tipo de ameaça. Nesse blog, ilustramos algumas das informações mais importantes do Zeus GameOver.
Existe uma diferença importante entre GameOver e outras variantes do Zeus. Um malware típico do Zeus (ou Zbot), um ponto central de Comando e Controle (C&C) é usado para enviar dados e receber comandos. Mas, a infraestrutura do GameOver é descentralizada e depende de tecnologia peer-to-peer (P2P) para seus recursos de C&C.
Essa mudança da infraestrutura de C&C é um grande desafio para o setor de segurança, por que não existe um único ponto de falha, como a capacidade de eliminar um único nó de comando e controle. A Websense ThreatSeeker Intelligence Cloud está ativamente monitorando essa rede e oferece proteção contra a maioria das 7 etapas da cadeia de ameaças avançadas.
É importante saber que o Zeus GameOver não é enviado diretamente para a vítima em potencial. Um downloader é usado na infecção inicial, como o Pony Loader ou, mais recentemente, o Uptare. Historicamente, o principal meio de ataque foi o email, normalmente enviado usando o botnet de spam chamado Cutwail. No passado, um mix de anexos diretos, além de links levando para kits de exploração, colocariam downloaders no computador da vitima. Mas recentemente, com o Uptare ganhando popularidade devido a sua capacidade de evitar detecção por sistemas de AV, o foco mudou para anexos, porém durante as últimas semanas observamos emails com URLS usando sites como Dropbox, que servem arquivos zipados com o Uptare. O Uptare é especialmente ruim por que baixa o Zeus GameOver em formato criptografado, que passa pela maioria dos firewalls e sistemas de detecção de tipos de arquivos para prevenção de intrusão. Outro elemento normalmente incluído é o Necrus rootkit trojan, que ajuda a manter a infecção persistente.
Durante os últimos dois meses, observamos mais atividade com um número maior de downloads do GameOver via Uptare, especialmente durante a última semana. A tabela a seguir mostra os 10 países mais afetados pelo Zeus GameOver. Os Estados Unidos sofreram mais, mas a ameaça tomou proporções globais nos últimos dias.
Estados Unidos 97.587%
Reino Unido 13.505%
Itália 9.960%
Malásia 6.086%
Canadá 5.173%
México 3.054%
Jordânia 2.619%
Turquia 2.615%
Costa Rica 2.168%
Nova Caledônia 2.137%
O vídeo mostra a atuação da variante GameOver em abril e maio de 2014.
Outro fato interessante (e podemos dizer esperado) é que o principal alvo das campanhas do Zeus GameOver foi o setor financeiro, com a tendência de buscar vítimas entre companhias do setor de administração de previdência:
Gestão de Aposentadoria e Previdência Privada 72.072%
Educação 55.193%
Serviços 15.072%
Manufatura 13.431%
Finanças, Seguros e Imóveis 11.803%
"Agora é o momento de agir. Existe uma janela pequena que se abriu com a apreensão da infraestrutura do Zeus GameOver. As pessoas devem usar tecnologias para detectar ameaças e as empresas devem verificar seus painéis de controle de ameaças para detectar indícios de invasão. Estamos rastreando isso com nossos sistemas em tempo real e descobrimos que os autores do malware usam o Zeus de maneira dinâmica e estão sempre procurando novas oportunidades de construir seus bots maliciosos'', explica o Blog da WebSense.
Se a sua companhia sofreu uma infecção, você deve fazer tudo que pode para corrigir a situação antes que os hackers retomem controle de seu botnet. O que pode representar um pequeno obstáculo para os autores do malware pode ser um período valioso para tomar medidas. Essa não será a última variante, e a prevenção é sempre melhor que a cura. As companhias infectadas devem aproveitar a oportunidade para contar com a solução correta que barre a infecção antes de se alastrar", disse Carl Leonard, pesquisador sênior de segurança da Websense.
