Вредонос Gameover Zeus возвращается, его новая модификация использована злоумышленниками для массовой рассылки электронных сообщений. Спам-атака была выявлена компанией Malcovery Security, злонамеренная почта мимикрировала под легитимные письма из банка M&T с темой «E100 MTB ACH Monitor Event Notification». Цель атаки – кража финансовых данных клиентов.

Как указывает Malcovery, новая версия ботнета Gameover Zeus имеет более надежную инфраструктуру, которую сложнее выявить и разрушить. Теперь для работы с командным сервером троянец использует алгоритм FastFlux, вместо применявшегося ранее P2P.

В P2P вместо одного командного сервера используется децентрализованная система узлов (других зараженных ПК), которые передают боту исполняемые инструкции. FastFlux – иной метод предотвращения идентификации IP-адреса, который использует способ балансировки нагрузки в системе доменных имен. DNS позволяет администратору зарегистрировать n-е число IP-адресов с одним именем хоста, альтернативные адреса законно используется для распределения интернет-трафика между несколькими серверами. Ключевые сервера можно скрыть, используя 1/62 времени жизни (TTL) записи DNS ресурса связанной с IP-адресом, и чрезвычайно быстро меняя IP. Поскольку злоупотребление системой требует сотрудничества регистратора доменных имен, считается, что большинство FastFlux ботнетов управляются из развивающихся стран.

Напомним, первые версии Zeus появились еще в 2007 г. В отличие от других вредоносов, Zeus первым имел файл конфигурации, который позволял хакерам удаленно и быстро менять задачи вредоноса. С тех пор появилось несколько поколений Zeus, а число модификаций и ботнетов на их основе достигает уже нескольких десятков. Закрытый ранее Gameover Zeus на пике своего развития объединял от 500 тыс. до 1 млн ПК, а ущерб от деятельности этого ботнета оценивается более чем в $500 млн.

Источник: ko.com.ua

FacebookLinkedInVKOdnoklassnikiShare