Zeus è una famiglia di malware che si incontra spesso, a causa delle sua popolarità tra i criminali informatici. Da quando, nel 2011, è trapelato il codice sorgente di Zeus, ci sono state numerose nuove varianti e una di queste, soprannominata ‘GameOver’, è stata recentemente protagonista, dopo il sequestro della sua infrastruttura da parte delle autorità.
Websense® ThreatSeeker® Intelligence Cloud monitora attivamente questa specifica minaccia. Ecco alcune metriche fondamentali in merito a Zeus GameOver.
Background & informazioni
Zeus GameOver è stato rilevato per la prima volta nel 2011 ed è molto simile al malware originale Zeus. Utilizzato principalmente per il crimeware, consente di ottenere un guadagno economico attraverso il furto di credenziali e il trasferimento di fondi dai conti correnti delle vittime. Inoltre, GameOver scarica altri malware, come Cryptolocker.
C’è un’importante differenza tra GameOver e le altre varianti di Zeus. In un tipico malware Zeus (Zbot), viene usato un punto centrale di Command and Control (C&C) per inviare i dati e ricevere i comandi. In GameOver invece l’infrastruttura è decentralizzata e si basa su una tecnologia peer-to-peer (P2P) per le funzionalità C&C. Questo cambiamento nell’infrastruttura C&C è diventata un’importante sfida per il settore della sicurezza, dal momento che non esiste un singolo punto di errore.
Zeus GameOver non è inviato direttamente alle potenziali vittime, ma è coinvolto un downloader nell’infezione iniziale, come Pony Loader o il più recente Upatre. Storicamente, i vettori di attacco sono sempre state le email, inviate di solito attraverso la botnet spam Cutwail. In passato, un mix di allegati e di URL che rimandavano ad exploit kit avrebbero installato i downloader nel computer della vittima. Più recentemente, con Upatre che sta guadagnando terreno grazie alla capacità di evitare il rilevamento AV, ci si è focalizzati principalmente sugli allegati, ma nelle ultime settimane sono state rilevate delle email esca con URL, che utilizzavano siti come Dropbox per caricare file Zip contenenti Upatre. Inoltre, Upatre consente di effettuare il download di Zeus GameOver in forma crittografata, superando i principali firewall e sistemi di prevenzione delle intrusioni file-type. Molto spesso viene installato anche il trojan rootkit Necrus, che contribuisce a mantenere persistente l’infezione.
Campagna
Negli ultimi due mesi si è assistito ad una maggiore attività nel download del malware GameOver attraverso Upatre, con un picco durante la scorsa settimana. La tabella di seguito mostra i primi 10 Paesi colpiti da Zeus GameOver. Anche se gli Stati Uniti sono al primo posto, la minaccia ha assunto una portata globale.
|
Stati Uniti |
97,587% |
|
Regno Unito |
13,505% |
|
Italia |
9,960% |
|
Malesia |
6,086% |
|
Canada |
5,173% |
|
Messico |
3,054% |
|
Giordania |
2,619% |
|
Turchia |
2,615% |
|
Costa Rica |
2,168% |
|
Nuova Caledonia |
2,137% |
Interessante, e si potrebbe dire anche molto prevedibile, l’obiettivo principale delle campagne Zeus GameOver: il settore finanziario, con la tendenza a colpire in particolare le società di gestione pensionistica dell’industria finanziaria.
|
Gestione della pensione |
72,072% |
|
Istruzione |
55,193% |
|
Servizi |
15,072% |
|
Settore manifatturiero |
13,431% |
|
Finanza, assicurazioni & Real Estate |
11,803% |
“É ormai tempo di agire, c’è un breve periodo che è stato offerto dal rilevamento dell’infrastruttura Gameover Zeus. É quindi arrivato il momento per i singoli utenti di utilizzare tecnologie di rilevamento delle minacce e per le aziende di controllare le proprie dashboard alla ricerca degli indicatori di compromissione. Dal momento che abbiamo seguito l’attacco con i nostri sistemi in tempo reale, è emerso che gli autori del malware sono molto attivi nell’uso di Zeus e sono sempre alla ricerca di nuove opportunità per costruire le proprie bot malevole”, ha dichiarato Carl Leonard, senior manager, security research Websense Security Labs. “Se la vostra azienda è stata colpita, dovete fare del vostro meglio per rimediare prima che i criminali informatici riescano ad ottenere nuovamente il controllo della propria botnet, prosegue Leonard. Quello che potrebbe essere un piccolo ostacolo per gli autori del malware rappresenta invece un momento importante affinchè le vittime possano reagire. Questa non sarà l’ultima variante e la prevenzione è sicuramente la fase più importante. Le aziende colpite dovrebbero cogliere l’opportunità per installare la giusta soluzione al fine di bloccare l’infezione prima che abbia la possibilità di iniziare la sua scalata”, conclude.
la Redazione
