Cos’è GameOver Zeus (GOZ)?

Zeus è una famiglia di malware scoperta nel 2005. Oltre alla versione originale progettata per il furto di credenziali finanziarie, GameOver Zeus rappresenta una variante avanzata con un componente ransomware, che aumenta le probabilità di successo per l’aggressore. Oltre a rubare credenziali bancarie tramite keylogger e script di web injection, GameOver Zeus trasforma i computer infetti in una botnet. Questa botnet consente la comunicazione tra dispositivi infetti attraverso protocolli peer-to-peer (P2P).

La prima versione di Zeus, creata nel 2005, è stata sviluppata da Evgeniy Bogachev, noto come “Slavic”. Successivamente, Slavic ha collaborato con oltre 50 persone, un gruppo chiamato “business club,” per orchestrare attacchi di social engineering e malware contro conti bancari. Il gruppo ha esteso il codice originale di Zeus, aggiungendo funzionalità per attività di pirateria, gestione di botnet, distribuzione di CryptoLocker e iniezione di contenuti web e JavaScript dannosi nei browser delle vittime.

Nel 2010, Slavic annunciò di non voler più supportare Zeus, cedendo il codice sorgente ad altri sviluppatori, che crearono rapidamente nuove varianti. Un gruppo noto come “JabberZeus” sviluppò versioni chiamate Murofet/Licat Zeus e rese pubblico il codice di Zeus, favorendo la creazione di ulteriori varianti.

La variante Murofet/Licat introdusse elementi fondamentali per GameOver Zeus, come la comunicazione peer-to-peer e l’integrazione del ransomware CryptoLocker. Gli aggressori, inizialmente focalizzati sul furto di credenziali bancarie, cominciarono a utilizzare il ransomware per estorcere denaro direttamente alle vittime.

Nel 2014, i ricercatori sequestrarono con successo l’infrastruttura di GameOver Zeus, bloccando i domini usati per la comunicazione e la distribuzione del malware. Tuttavia, una nuova variante, denominata “newGOZ,” venne rilasciata poco dopo. Sebbene non sia rimasta attiva a lungo, si ipotizza che fosse una distrazione creata dagli autori del malware per rilasciare il codice sorgente al pubblico.

GameOver Zeus è una variante della famiglia di malware Zeus, progettata specificamente per incorporare un componente ransomware. Dopo aver infettato un dispositivo, GameOver Zeus cerca opportunità per scaricare e installare malware aggiuntivo, come CryptoLocker.

Il malware si diffonde principalmente tramite email dannose, che contengono allegati malevoli o link a server controllati dagli aggressori. Una volta scaricato, GameOver Zeus aggiunge il computer infetto a una botnet, collegandolo al centro di comando e controllo della rete Zeus. Qui gli aggressori impartiscono ordini, aggiornano il malware e gestiscono le attività della botnet.

Quando l’utente accede al proprio conto bancario online, GameOver Zeus utilizza script per iniettare elementi dannosi nel browser, inducendo l’utente a rivelare informazioni sensibili, come domande di sicurezza o credenziali bancarie. Inoltre, il malware ruba gli ID di sessione per consentire agli aggressori di accedere direttamente ai conti bancari delle vittime e effettuare transazioni fraudolente.

L’obiettivo primario di GameOver Zeus è sottrarre denaro alle vittime tramite una botnet coordinata, che ruba informazioni bancarie o trasferisce fondi dai conti online delle vittime a quelli degli aggressori. Per completare l’operazione, vengono utilizzati money mules, che prelevano denaro dai conti locali e lo trasferiscono ai conti offshore.

Caratteristiche tecniche di GameOver Zeus

GameOver Zeus opera in background su sistemi Windows, monitorando costantemente la presenza di informazioni personali o aziendali, inclusi dati memorizzati nei browser o in archivi protetti. La comunicazione peer-to-peer utilizzata dal malware è crittografata, rendendo difficile il rilevamento delle interazioni tra il server di comando e controllo e la botnet. Qualsiasi informazione raccolta viene inoltrata a un altro peer all’interno della rete botnet.

Le attività della botnet servono principalmente per coordinare la comunicazione tra i computer infetti. Gli aggressori possono affittare la rete Zeus per condurre ulteriori infezioni. Slavic, il creatore di Zeus, mantiene un accesso esclusivo al backend della rete, utilizzando chiavi private per connettersi ai peer e aggiornare il malware con le versioni più recenti.

Se GameOver Zeus non riesce a rubare credenziali bancarie, entra in azione il componente ransomware CryptoLocker. Questo cifra i file della vittima utilizzando l’algoritmo RSA-2048, una tecnica crittograficamente sicura. I file rimangono inaccessibili senza la chiave privata, che viene fornita solo dopo il pagamento del riscatto richiesto dagli aggressori.

Dati sensibili rubati da Zeus

• Informazioni inserite in moduli HTTP durante la navigazione.
• Dati memorizzati in Windows Protected Storage.
• Certificati e chiavi client utilizzati in infrastrutture pubbliche critiche.
• Credenziali di account FTP e POP (email).
• Cookie utilizzati per applicazioni HTTP e Flash.

Zeus e GameOver Zeus, attivi da oltre un decennio, hanno causato danni per milioni di dollari a consumatori e aziende. Il picco di attività di Zeus si è verificato tra il 2011 e il 2014, mentre GameOver Zeus, sviluppato come variante successiva, ha inflitto i maggiori danni nel 2014. Essendo un malware altamente sofisticato, richiede una prevenzione attiva da parte delle organizzazioni.

Secondo l’FBI, GameOver Zeus ha infettato oltre 250.000 computer, generando perdite monetarie superiori a 100 milioni di dollari. Il componente ransomware CryptoLocker è responsabile di circa 27 milioni di dollari in riscatti pagati da aziende e consumatori. Una ricerca dell’Università del Kent stima che il 40% delle vittime di CryptoLocker abbia accettato di pagare il riscatto.

L’FBI ha accusato Slavic e i suoi cospiratori per le attività fraudolente legate alla rete Zeus, offrendo una ricompensa milionaria per informazioni utili. Nonostante ciò, varianti del malware continuano a colpire consumatori e aziende. La componente botnet di Zeus, particolarmente difficile da rilevare sui dispositivi infetti, rimane una minaccia significativa.

Mandati di perquisizione e accuse di frode sono stati emessi contro diversi individui negli Stati Uniti, nel Regno Unito e in Ucraina. Si stima che l’FBI abbia indagato su 390 casi legati al malware Zeus, con oltre 220 milioni di dollari in tentativi di frode e 100 milioni di dollari di perdite confermate.

Poiché GameOver Zeus si diffonde tramite email di phishing, la prima linea di difesa contro questo malware e altre minacce informatiche è una soluzione di sicurezza email efficace. La seconda è la formazione: sensibilizzare i dipendenti tramite programmi di security awareness è essenziale. Gli utenti capaci di identificare email sospette riducono significativamente il rischio di attacchi ransomware. Per prevenire che tali messaggi raggiungano la casella di posta, è importante implementare misure aggiuntive come filtri email e avvisi gestiti dall’amministratore.

La maggior parte delle email di phishing legate a GameOver Zeus contiene link dannosi. I filtri di contenuto aziendali bloccano l’accesso ai siti web nocivi, ma gli utenti devono essere incoraggiati a segnalare le email sospette. Sebbene gli antivirus possano bloccare alcuni installatori di malware, non devono essere l’unica barriera contro i download drive-by.

Applicazioni antivirus e antimalware di livello aziendale sono fondamentali per impedire che il malware comprometta il sistema operativo Windows. È inoltre indispensabile mantenere aggiornate tutte le applicazioni, inclusi i browser e il sistema operativo, installando le patch di sicurezza più recenti. Software obsoleto con vulnerabilità conosciute rappresenta una causa frequente di infezioni da malware.

GameOver Zeus ruba password e dati sensibili legati ai conti bancari, quindi cambiare regolarmente le password riduce il rischio di accesso non autorizzato. Se la dashboard del conto bancario permette di disabilitare o de-autenticare le sessioni, è consigliabile disconnettere tutte le sessioni attive. Sebbene la maggior parte delle banche affidabili utilizzi sistemi di rilevamento antifrode per proteggere i conti online, non si dovrebbe mai fare affidamento esclusivo su questi sistemi per impedire l’accesso remoto ai propri conti.

Anche se meno diffuso rispetto agli anni passati, GameOver Zeus rappresenta ancora una minaccia per consumatori e aziende. Dal suo rilascio nel 2005, Zeus ha generato diverse varianti sviluppate da vari aggressori. GameOver Zeus è una di queste, insieme a Panda Banker, Terdot, Floki, Sphinx e Citadel.

Si diceva che Slavic volesse vendere il codice di Zeus a un concorrente chiamato SpyEye, che offriva un software di rimozione di Zeus per poi infettare i dispositivi con altro malware. Tuttavia, i rapporti indicano che Slavic non si è mai ritirato completamente, continuando invece a sviluppare versioni più robuste del codice Zeus per il furto bancario. Piuttosto che vendere il codice, Slavic sembra affittarlo o venderne l’accesso in modo privato.

Il codice di Zeus è ampiamente disponibile nei mercati darknet e nei circoli di hacking, fornendo una base robusta per gli sviluppatori di malware. La sua struttura peer-to-peer lo rende ideale per gruppi di truffatori sofisticati, pronti a creare infrastrutture per sviluppare le proprie varianti di Zeus. Inizialmente progettato come trojan bancario, Zeus ha dimostrato un’efficacia ancora maggiore quando combinato con ransomware. Molti aggressori utilizzano GameOver Zeus per integrare le attività del trojan con quelle del ransomware, aumentando così le probabilità di successo nei pagamenti.

Le organizzazioni possono bloccare le comunicazioni di Zeus utilizzando proxy e regole firewall. Tuttavia, questo approccio potrebbe interferire con il traffico legittimo della rete, compromettendo la produttività dei dipendenti. Durante il picco di attività, Zeus controllava circa 1,2 milioni di computer, e bloccare gli intervalli IP era una misura necessaria in situazioni di emergenza, sebbene rischiosa per i tempi di inattività della rete.

Un software antimalware specifico è essenziale per bloccare ransomware e malware sofisticati come Zeus, specialmente in ambienti aziendali. I tradizionali fornitori di antivirus possono bloccare domini o applicazioni intere, ma spesso non offrono le capacità avanzate necessarie per affrontare minacce complesse come Zeus.

Le versioni più recenti di GameOver Zeus includono un rootkit chiamato Necurs, che rende la rimozione del malware estremamente difficile. Zeus adotta tattiche aggressive per mantenere la comunicazione e propagarsi ad altri dispositivi. Di conseguenza, è indispensabile una difesa antimalware altrettanto aggressiva, supportata da strategie avanzate di rilevamento, contenimento e risposta agli incidenti.

Proofpoint comprende le complessità del panorama della sicurezza informatica e le gravi implicazioni di un’infezione da malware come GameOver Zeus. Un attacco di questo tipo non si limita a una singola workstation, ma si diffonde rapidamente in tutto l’ambiente, richiedendo un contenimento immediato.

Proofpoint fornisce soluzioni proattive per bloccare il malware e prevenire che il sistema di posta elettronica diventi il punto di ingresso dell’attacco. Con strumenti di cybersecurity avanzati, Proofpoint aiuta a prevenire email dannose, impedisce al malware di infettare l’ambiente aziendale e offre metodi per eliminare e mitigare le minacce più pericolose in circolazione.