Malware-Autoren ändern nach „Operation Tovar“ ihre Strategie

Für GameOver Zeus ist das Spiel noch nicht vorbei

| Redakteur: Stephan Augsten

Das GameOver-Zeus-Botnetz meldet sich zurück, die Urheber haben allerdings ihre Strategie geändert.
Das GameOver-Zeus-Botnetz meldet sich zurück, die Urheber haben allerdings ihre Strategie geändert. (Bild: Archiv)

Ursprünglich als Online-Banking-Trojaner gedacht, hat der Zeus-Schadcode seit 2007 etliche Evolutionsstufen und Mutationen durchlebt. Die Variante „GameOver Zeus“, die im Rahmen der „Operation Tovar“ im Juni ausgemerzt werden sollte, sorgt seit Juli wieder für Unruhe. Die Sicherheitsanbieter Bitdefender und AppRiver haben sich mit der Malware befasst.

Im Juni 2014 hatten sich diverse Strafverfolgungsbehörden wie das FBI, die U.K. National Crime Agency und Europol zusammengetan, um an die Hintermänner von „GameOver Zeus“ heranzukommen. Sicherheitsforscher und -unternehmen weltweit unterstützten die Aktion. Schließlich gelang es tatsächlich, eines der aggressivsten Botnetze auszuschalten.

Im Juli dieses Jahres wurde aus dem scheinbar ausgeschalteten Botnetz aber eine neue Schadcode-Version verschickt, warnt der Security-Analyst Fred Touchette von AppRiver. Gefälschte Erklärungen von einem Unternehmen namens „Cards Online“ tauchten massenhaft in den E-Mail-Eingängen auf. Der scheinbare PDF-Anhang mit angeblich „wichtigen Kontoinformationen“ enthält wiederum einen Trojaner.

Die Urheber von „GameOver Zeus“ setzen offenbar nicht mehr auf das ursprünglich genutzte Peer-to-Peer-Protokoll. Laut AppRiver nutzen sie eine eher direkte Command-and-Control-Architektur, die sich hinter einem Domain-Namen generierenden Algorithmus verbirgt. Dieser erhält seinerseits Instruktionen vom entsprechenden C&C-Server.

Fred Touchette unterstreicht, dass die Malware offenbar zusätzlich die Art und Weise verändert hat, mit der sie im infizierten Host Fuß fasst. Merkmale von GameOver Zeus seien aber eindeutig erkennbar. Der Antivirus-Hersteller Bitdefender hat nach eigenen Angaben zwei Varianten der Malware in freier Wildbahn ausgemacht.

Eine davon generiere täglich 1.000 Domains, die andere komme gar auf 10.000 Domänen. Die neu angelegten Domains sind dann jeweils nur für einen Tag aktiv. Mittels Sinkholing einer bestimmten Domain habe Bitdefender aber die Struktur und Aktivitäten des Botnetzes für den jeweiligen Tag untersuchen können.

Wie der Sicherheitsspezialist meldet, unterscheiden sich die beiden Botnetze vor allem hinsichtlich ihrer Zielländer. Die erste Version hat offenbar in den USA eine höhere Infektionsdichte. Angesichts der Tatsache, dass die Mehrzahl der Malware-Familien hier Geld erpressen, sei dies Bitdefender zufolge aber keine Überraschung. Die zweite Version habe hingegen die Ukraine und Weißrussland ins Visier genommen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42896529 / Malware)