Si bien Zeus es una familia de malware compuesta por muchas versiones del mismo programa dañino, pero que tienen algunas diferencias entre sí, y es además una de las que más ataques se les puede adjudicar, tiene una especie de hijo pródigo en cuanto a peligrosidad en una nueva variante de este tipo de programas denominada Game Over.
Zeus es una familia de malware que se encuentra con frecuencia en distinto tipo de ataques debido a su gran popularidad entre los grupos cibercriminales que la utilizan de diferentes formas. El código fuente de Zeus se dio a conocer en el año 2011 y funcionó casi como un software libre para el desarrollo de programas dañinos, dado que se conocieron muchas nuevas variantes del mismo, aunque no todas resultaron realmente funcionales o peligrosas. Una de las más exitosas es la denominada “GameOver”, que recientemente ocupó los titulares de los medios luego de que su accionar fuera descubierto por investigadores en Seguridad Informática.
Según datos que analizó Websense en uno de sus últimos estudios, existe una diferencia importante entre GameOver y otras variantes de Zeus. En un malware típico como Zeus del tipo Zbot, o sea que toma control de otras computadoras infectadas, se utiliza un punto central de Comando y Control para enviar datos y recibir comandos. Sin embargo, GameOver se comporta de una manera muy diferente debido a que la infraestructura que arma con el resto de las computadoras que tiene infectadas bajo su mando, es descentralizada y utiliza una tecnología peer-to-peer (P2P), en lugar del clásico sistema de Comando y Control.
Este cambio en el manejo de la infraestructura parasitada de Comando y Control por peer-to-peer hace que sea muy difícil desactivar una red de computadoras infectadas con este malware ya que no existe un punto único de falla que se podría atacar para eliminarla, algo que sí se puede hacer con las versiones anteriores de Zeus, destruyendo con un único comando el nodo de control.
Es importante tener en cuenta que Zeus GameOver no se envía directamente a una víctima potencial. Para que todo funcione es necesario que se ejecute un descargador en la infección inicial, tal como PonyLoader y el más recientemente denominado Upatre.
En los últimos 2 meses se ha visto un aumento en la actividad de las descargas de malware a través de GameOverUpatre, siendo particularmente activas las dos últimas semanas.
Si bien Estados Unidos ha sido el país más atacado por este malware en las últimas semanas, la amenaza tiene ahora un alcance global más amplio.
El siguiente es un cuadro de estadísticas proporcionado por Websense, que se deriva del estudio que sus expertos realizaron sobre GameOver:
Estados Unidos 97.587%
Reino Unido 13.505%
Italia 9.960%
Malasia 6.086%
Canadá 5.173%
México 3.054%
Jordania 2.619%
Turquía 2.615%
Costa Rica 2.168%
Nueva Caledonia 2.137%
