Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Dos nuevas variantes de Gameover Zeus identificadas
Tan solo dos meses después de que la botnet Gameover Zeus fuera desmantelada en una operación conjunta entre compañías de seguridad de la información y fuerzas policiales, un grupo de investigadores ha encontrado dos nuevas variantes de este malware infectando nuevos equipos.
De acuerdo a Bitdefender, ambas variantes utilizan un Algoritmo de Generación de Dominios (DGA, por sus siglas en inglés), técnica de ofuscación utilizada en las primeras versiones de Gameover.
Una de las variantes que utiliza DGA afectó a cerca de 5 mil equipos en Estados Unidos, según los registros de intentos de conexión de las computadoras infectadas hacia el centro de control de la botnet. La otra variante identificada recientemente afectó principalmente a 1854 equipos en Ucrania y 1192 computadoras en Bielorrusia.
DGA es un método que permite generar una lista de nombres de dominio para que los equipos infectados puedan establecer comunicación con la infraestructura de la botnet de manera encubierta mediante comunicación entre repetidores. Bitdefender rastreó las infecciones después de obtener control de cinco dominios durante cinco días para cada una de las botnets.
De acuerdo a Bogdan Botezatu, analista de Bitdefeder, el alcance de la botnet Gameover, después de resurgir rápidamente, podría ser más amplio de lo que los datos sugieren.
"Este es solo un porcentaje relativamente pequeño de lo que está pasando, porque no estoy seguro de que todas las maquinas infectadas estuvieran encendidas mientras tuvimos oportunidad de conectar nuestro sinkhole. Cuando utilizas un sinkhole para controlar un dominio estás viendo a las computadoras que intentan conectarse al centro de control."
Parece que por ahora los operadores de la botnet Gameover se encuentran haciendo pruebas antes de iniciar actividades maliciosas como el robo de credenciales bancarias o la distribución de malware. Botezatu añadió: "Incluso si los atacantes no están haciendo fraudes bancarios, aún pueden cargar otras cosas [a los equipos infectados]… Éste era el mecanismo favorito para entregar Cryptolocker."
El anuncio de Bitdefender llega después de que criminales intentaran revivir la botnet Gameover Zeus. El mes pasado un grupo de investigadores trabajando en conjunto con Malcovery identificaron una nueva pieza de malware basada en el código de Gameover Zeus, el cual había sido distribuido mediante una campaña de phishing bancario. Esta variante también utilizaba una nueva lista de dominios en un intento de ocultar las comunicaciones
