Os cibercriminosos estão em processo de reconstrução da Gameover Zeus (GOZ), que as autoridades policiais assumiu, em junho, e pesquisas recentes sugerem que eles tiveram algum sucesso, especialmente em os EUA
A botnet GOZ original foi construído usando uma versão modificada do infame do programa Zeus e foi projetado para roubar dados on-line e outras credenciais de computadores infectados. Os autores de malware Goz criou uma infra-estrutura de comando e controle, com uma arquitetura peer-to-peer, tornando a sua botnet mais resistentes a tentativas de aquisição.
Apesar dos desafios técnicos, o Departamento de Justiça dos EUA, trabalhando com agências de aplicação da lei estrangeira, as empresas de segurança privada, conseguiu tomar o controle do botnet no início de junho. Seu tamanho foi estimado em entre 500 mil e 1 milhão de computadores infectados na época, com 25 por cento dos quais localizados em os EUA
Em 11 de julho, pesquisadores de uma empresa chamada Malcovery Security avistou uma nova variante do Gameover Zeus que tinha parado de usar uma infra-estrutura peer-to-peer-com base em comando e controle em favor de nomes de domínio.
A maioria dos programas de malware são projetados para conectar-se a uma lista codificada de nomes de domínio associados a servidores de comando e controle. No entanto, a nova versão GOZ usa um algoritmo de geração de domínio (DGA) para criar uma lista de centenas ou milhares de novos nomes de domínios aleatórios para o futuro todos os dias e, em seguida, tenta entrar em contato com eles.
Sabendo como o DGA funciona, os atacantes podem prever o que os nomes de domínio que o malware tentará entrar em contato em um determinado dia. Podem registar-se um deles com antecedência, atribuí-la a um servidor, e esperar que os computadores infectados para se conectar, a fim de lhes dar novas instruções.
Isso torna difícil para os pesquisadores de segurança a tomar permanentemente o controle da botnet, porque novos domínios serão gerados constantemente, mas se descobrir o algoritmo e registrar alguns dos domínios, eles podem interagir temporariamente com ele. Este tipo de funcionamento, conhecida como sinkholing, pode pelo menos ser utilizada para estimar o número de sistemas infectados que fazem parte da rede zumbi.
De acordo com um relatório na semana passada de pesquisadores da Bitdefender, há duas novas configurações Goz usando um metodo diferente de geração de nome de domínio, algoritmos que podem gerar 1.000 nomes de domínio por dia e que gera 10.000. Por sinkholing cinco domínios mais de cinco dias diferentes para cada uma das duas variantes Goz, os pesquisadores da Bitdefender contaram 5.907 endereços IP únicos (Internet Protocol) para computadores infectados pelo primeiro GOZ variante, quase 84 por cento dos quais é de os EUA e 4316 IP endereços para a segunda variante, 70 por cento deles da Ucrânia e da Bielorrússia.
Contando os endereços IP não é uma maneira exata de determinar o tamanho de uma botnet porque alguns computadores recebem um endereço IP diferente do seu ISP cada vez que se conectar à Internet. No entanto, na ausência de melhor identificadores, pode pelo menos ser utilizada como uma estimativa aproximada.
"No agregado e mais três semanas, os nossos cinco buracos viu 12.353 IPs de origem de todos os cantos do mundo", disseram os pesquisadores. O país mais afetado foi o dos Estados Unidos, com 44 por cento das infecções, disseram.
Por enquanto os criadores da nova variante GOZ estão se concentrando em reconstruir a sua botnet, ao invés de roubar dinheiro dos usuários, mas é provável que apenas uma questão de tempo até que eles vão voltar para que o objetivo principal.
Esta história, "New Gameover Zeus botnet continua crescendo, especialmente em os EUA" foi originalmente publicado pelo IDG News Service.