Zeus é uma família de malware frequentemente encontrada por conta de sua popularidade entre os grupos de hackers
Desde o vazamento do código fonte de Zeus em 2011, muitas variantes apareceram. Uma dessas variantes é a ‘GameOver’, que recentemente foi reportada pela mídia depois da descoberta de sua infraestrutura pelas autoridades. A rede Webense® ThreatSeeker® Intelligence Cloud proativamente monitora especificamente esse tipo de ameaça. Nesse blog, ilustramos algumas das informações mais importantes do Zeus GameOver.
Existe uma diferença importante entre GameOver e outras variantes do Zeus. Um malware típico do Zeus (ou Zbot), um ponto central de Comando e Controle (C&C) é usado para enviar dados e receber comandos. Mas, a infraestrutura do GameOver é descentralizada e depende de tecnologia peer-to-peer (P2P) para seus recursos de C&C.
Essa mudança da infraestrutura de C&C é um grande desafio para o setor de segurança, por que não existe um único ponto de falha, como a capacidade de eliminar um único nó de comando e controle. A Websense® ThreatSeeker® Intelligence Cloud está ativamente monitorando essa rede e oferece proteção contra a maioria das 7 etapas da cadeia de ameaças avançadas.
É importante saber que o Zeus GameOver não é enviado diretamente para a vítima em potencial. Um downloader é usado na infecção inicial, como o Pony Loader ou, mais recentemente, o Uptare. Historicamente, o principal meio de ataque foi o email, normalmente enviado usando o botnet de spam chamado Cutwail. No passado, um mix de anexos diretos, além de links levando para kits de exploração, colocariam downloaders no computador da vitima. Mas recentemente, com o Uptare ganhando popularidade devido a sua capacidade de evitar detecção por sistemas de AV, o foco mudou para anexos, porém durante as últimas semanas observamos emails com URLS usando sites como Dropbox, que servem arquivos zipados com o Uptare. O Uptare é especialmente ruim por que baixa o Zeus GameOver em formato criptografado, que passa pela maioria dos firewalls e sistemas de detecção de tipos de arquivos para prevenção de intrusão. Outro elemento normalmente incluído é o Necrus rootkit trojan, que ajuda a manter a infecção persistente.
Durante os últimos dois meses, observamos mais atividade com um número maior de downloads do GameOver via Uptare, especialmente durante a última semana. A tabela a seguir mostra os 10 países mais afetados pelo Zeus GameOver. Os Estados Unidos sofreram mais, mas a ameaça tomou proporções globais nos últimos dias.
| Estados Unidos | 97.587% | |
| Reino Unido | 13.505% | |
| Itália | 9.960% | |
| Malásia | 6.086% | |
| Canadá | 5.173% | |
| México | 3.054% | |
| Jordânia | 2.619% | |
| Turquia | 2.615% | |
| Costa Rica | 2.168% | |
| Nova Caledônia | 2.137% |
O seguinte vídeo mostra a atuação da variante GameOver em abril e maio de 2014
Outro fato interessante (e podemos dizer esperado) é que o principal alvo das campanhas do Zeus GameOver foi o setor financeiro, com a tendência de buscar vítimas entre companhias do setor de administração de previdência.
| Gestão de Aposentadoria e Previdência Privada | 72.072% | |
| Educação | 55.193% | |
| Serviços | 15.072% | |
| Manufatura | 13.431% | |
| Finanças, Seguros e Imóveis | 11.803% |
“Agora é o momento de agir. Existe uma janela pequena que se abriu com a apreensão da infraestrutura do Zeus GameOver. As pessoas devem usar tecnologias para detectar ameaças e as empresas devem verificar seus painéis de controle de ameaças para detectar indícios de invasão. Estamos rastreando isso com nossos sistemas em tempo real e descobrimos que os autores do malware usam o Zeus de maneira dinâmica e estão sempre procurando novas oportunidades de construir seus bots maliciosos.
Se a sua companhia sofreu uma infecção, você deve fazer tudo que pode para corrigir a situação antes que os hackers retomem controle de seu botnet. O que pode representar um pequeno obstáculo para os autores do malware pode ser um período valioso para tomar medidas. Essa não será a última variante, e a prevenção é sempre melhor que a cura. As companhias infectadas devem aproveitar a oportunidade para contar com a solução correta que barre a infecção antes de se alastrar”, disse Carl Leonard, pesquisador sênior de segurança da Websense.
Sobre a Websense, Inc.
A Websense, Inc. é um líder global na proteção de organizações contra os mais recentes ataques virtuais e roubo de dados. A solução Websense TRITON reúne a segurança web, e-mail e móvel e as defesas e inteligência de prevenção contra a perda de dados (DLP) com o menor custo total de propriedade. Mais de 11.000 empresas dependem da inteligência de segurança Websense TRITON para evitar ameaças avançadas persistentes, ataques direcionados e malware em evolução. A Websense previne o roubo de dados e propriedade intelectual, e fiscaliza o cumprimento com políticas de segurança e melhores práticas. Uma rede global de parceiros de canal distribui soluções Websense TRITON escaláveis e unificadas para implementação em dispositivos locais ou em nuvem.