Begin juni vond er een gecoördineerde operatie van Europol, de FBI en Microsoft plaats, waarbij het GameOver Zeus-botnet uit de lucht werd gehaald. Tot verbazing van onderzoekers vochten de beheerders van het botntet niet terug, maar nu zijn er toch pogingen ontdekt om het botnet te laten herrijzen.

De GameOver Zeus-malware is een Trojaans paard dat op de beruchte Zeus Trojan is gebaseerd en voornamelijk wordt gebruikt voor het stelen van gegevens voor internetbankieren, hoewel de malware ook andere inloggegevens en wachtwoorden steelt. De malware, die honderdduizenden computers door de jaren heen infecteerde, zou 75 miljoen euro schade hebben veroorzaakt. GameOver Zeus verspreidde zich onder andere via e-mail en na de operatie verdwenen ook de e-mails.

Gisteren ontdekten onderzoekers van beveiligingsbedrijf Malcovery een nieuw Trojaans paard dat op GameOver Zeus gebaseerd is en ook e-mail gebruikt om internetgebruikers te infecteren. Het ging in totaal om drie verschillende spamcampagnes die de malware probeerden te verspreiden. Zodra de ontvangen bijlage wordt geopend maakt de malware verbinding met bepaalde domeinen om vervolgens de code te downloaden waarmee het gegevens voor internetbankieren kan stelen.

Communicatie

De originele GameOver Zeus gebruikte een peer-to-peer (P2P)-infrastructuur om met besmette computers te communiceren. In plaats van één centrale server die opdrachten uitwisselde, werd dit door de besmette computers (peers) onderling gedaan. Dit moest het lastiger voor opsporingsdiensten maken om de controle over het botnet te krijgen, wat echter wel gelukt is. GameOver Zeus beschikt echter ook nog over een back-up, namelijk een Domain Generation Algorithm (DGA).

Dit algoritme genereert willekeurige domeinen waarmee besmette computers verbinding zullen maken. Als het P2P-gedeelte niet meer werkt zouden de besmette computers alsnog via de domeinen bereikt kunnen worden. In het geval van GameOver Zeus worden deze domeinen nu door opsporingsdiensten geregistreerd, zodat de cybercriminelen achter de malware op deze manier niet het botnet terug kunnen krijgen.

Net zoals GameOver Zeus gebruikt ook de nu ontdekte nieuwe variant een DGA. Dit algoritme staat los van die van GameOver Zeus, maar is er wel op gebaseerd. Daarnaast beschikt de malware over een andere manier om met besmette computers te communiceren. Er wordt geen P2P meer gebruikt, maar een fast-flux-strategie. Hierbij kunnen botnetbeheerders de IP-adressen van een domein in hoog tempo wisselen, zodat het lastig wordt om de locatie van de botnetserver te achterhalen.

"Deze ontdekking laat zien dat de criminelen verantwoordelijk voor de verspreiding van GameOver niet van plan zijn om het botnet op te geven, zelfs als ze door één van de meest uitgebreide botnetkapingen in de geschiedenis zijn getroffen", zegt Gary Warner van Malcovery. De nu ontdekte variant wordt door zo'n 10 van de 54 virusscanners op VirusTotal herkend. Gebruikers krijgen dan ook het advies om geen ongevraagde e-mailbijlagen te openen.