En los últimos días el CSIRT del CEDIA ha enviado un número considerablemente numeroso de alertas de seguridad referentes al botnet GameOver Zeus P2P, que es una variante del botnet Zeus que utiliza técnicas de P2P para resistir mejor a intentos de apagar el centro de comando y control de Zeus.
A continuación una traducción libre de la alerta TA14-150A del us-cert.gov que resulta de gran interés no solo por la descripción del evento sino además por medidas que puede tomar el usuario final para eliminarle de su computadora en el caso de que le tenga:
Sistemas Afectados
- Microsoft Windows 95, 98, Me, 2000, XP, Vista, 7, y 8
- Microsoft Server 2003, Server 2008, Server 2008 R2, y Server 2012
Resumen
GameOver Zeus (GOZ), es una variante peer-to-peer (P2P) de la familia de malware Zeus utilizada para el robo de credenciales bancarias que fue identificado en Septiembre del 2011, [1] usa una infraestructura de red descentralizada compuesta de computadoras personales comprometidas y servidores web para ejecutar ejecutar órdenes desde su centro de comando y control. El Departmento de Seguridad Nacional (DHS) de los Estados Unidos, en colaboración con el Buró Federal de Investigaciones (FBI) y el Departamento de Justicia (DOJ), publican esta alerta técnica para proveer información adicional sobre el botnet GameOver Zeus.
Descripción
GOZ, el cual se propaga a través de mensajes de phishing y spam, se utiliza principalmente por cibercriminales para recolectar información bancaria, tales como credenciales de acceso, desde la computadora de la víctima. [2] Los sistemas infectados pueden ser utilizados además para otras actividades maliciosas tales como el envío de spam o participar en ataques distribuídos de negación de servicio (DDoS).
Las variantes anteriores del malware Zeus utilizaban un centro de comando y control centralizado (C2) con la finalidad de ejecutar comandos. Los servidores C2 centralizados son rastreados y bloqueados de forma rutinaria por la comunidad de seguridad. [1] El GOZ sin embargo utilizao una red P2P de equipos infectados para comunicarse y distribuir los datos empleado además encriptación para evadir la detección. Estos equipos actúan como una masiva red de intermediarios qye es utilizada para propagar actualizaciones de binarios, distribuir archivos de configuración y enviar datos robados. [3] Al no tener un punto de falla en común, la relisiencia de la infraestructura del GOZ hace que los esfuerzos por eliminarle sean más difíciles. [1]
Impacto
Un sistema infectado con el GOZ puede ser empleado para enviar spam, participar en ataques de DDoS y recolectar credenciales de usuarios en servicios en línea, incluídos servicios bancarios.
Solución
Recomendamos a los usuarios tomar las siguientes acciones para remediar las infecciones del GOZ:
- Usar y mantener un software anti-virus – El software Anti-virus reconoce y protege su computadora contra los virus conocidos. Es importante mantener el anti-virus actualizado (ver Understanding Anti-Virus Software para más información).
- Cambiar sus claves – Sus claves originales pueden haber sido comprometidas durante la infección, así que debe cambiarlas (vea Choosing and Protecting Passwords para mayor información).
- Mantenga su sistema operativo y aplicativos actualizados – Instale actualizaciones de su software de forma tal que los atacantes no puedan tomar ventaja de problemas conocidos o vulnerabilidades. Muchos sistemas operativos ofrecen actualizaciones automáticas. Si esta opción está disponible, usted debería habilitarla (ver Understanding Patches para mayor información).
- Use herramientas anti-malware – Usando un programa legítimo que identifique y remueva el malware puede ayudar a eliminar una infección. Los usuarios deben considerar emplear una herramienta de remediación (ejemplos a continuación) que ayude al usuario a remover el GOZ de su sistema.
F-Secure
http://www.f-secure.com/en/web/home_global/online-scanner (Windows Vista, 7 y 8)
http://www.f-secure.com/en/web/labs_global/removal-tools/-/carousel/view/142 (Windows XP)
Heimdal
http://goz.heimdalsecurity.com/ (Microsoft Windows XP, Vista, 7, 8 y 8.1)
McAfee
www.mcafee.com/stinger (Windows XP SP2, 2003 SP2, Vista SP1, 2008, 7 y 8)
Microsoft
http://www.microsoft.com/security/scanner/en-us/default.aspx (Windows 8.1, Windows 8, Windows 7, Windows Vista, y Windows XP)
Sophos
http://www.sophos.com/VirusRemoval (Windows XP (SP2) y superior)
Symantec
http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network (Windows XP, Windows Vista y Windows 7)
Trend Micro
http://www.trendmicro.com/threatdetector (Windows XP, Windows Vista, Windows 7, Windows 8/8.1, Windows Server 2003, Windows Server 2008, y Windows Server 2008 R2)
Los ejemplos anteriores no constituyen una lista exhaustiva. El gobierno de los Estados Unidos no apoya o soporta un producto o vendedor en especial.
- El GOZ ha sido asociado con el malware CryptoLocker. Para mayor información sobre este malware visite la página CryptoLocker Ransomware Infections.
Referencias
Revisiones
- Initial Publication – June 2, 2014
- Added McAfee – June 6, 2014