Gameover - groźny wirus atakujący klientów bankowości elektronicznej
Gameover to nowa mutacja wirusa ZeuS, który wciąż stanowi realne zagrożenie dla internautów - ostrzega CERT Polska. Złośliwe oprogramowanie pozwala cyberprzestępcom na modyfikowanie treści stron internetowych banków w celu wyłudzania środków zgromadzonych na rachunku. W 2012 roku wirus zaatakował kilkadziesiąt tysięcy unikalnych adresów IP i znalazł się w pierwszej piątce najgroźniejszych botnetów w polskich sieciach komputerowych.
Dotychczasowe mutacje ZeuS-a oparte były o jeden lub kilka adresów, służących do centralnego zarządzania wirusem, które mogły być łatwo namierzone i zablokowane. Gameover jednak wykorzystuje własną sieć P2P do komunikacji i dystrybucji . To oznacza, że do przesyłania komunikatu nie potrzebuje centralnej kontroli i może swobodnie krążyć pomiędzy zainfekowanymi komputerami. Jak podkreślają eksperci, wykorzystanie nowego sposobu komunikacji, za pomocą sieci P2P znacznie utrudnia walkę ze złośliwym oprogramowaniem i pozwala przestępcom dłużej pozostawać w ukryciu. Dodatkowo, nawet jeśli mechanizm P2P zostanie zablokowany, wirus może automatycznie przełączyć się na zapasowy kanał komunikacyjny - DGA.
Przy użyciu Gameover cyberprzestępcy mogą modyfikować treść elektronicznych serwisów transakcyjnych i wyświetlać na monitorze użytkownika fałszywe komunikaty, często bardzo podobne do tych pochodzących z banku. Polscy użytkownicy, atakowani w drugiej połowie 2012 roku, po zalogowaniu się na stronie swojego banku otrzymywali monit nakłaniający do wykonania przelewu na określony numer konta. Nie mieli przy tym żadnej możliwości weryfikacji, czy wyświetlana strona nie została zmodyfikowana, co mogło doprowadzić do nieświadomego transferowania środków na konta przestępców.
Jak wynika z raportu CERT Polska, największa aktywność wirusa Gameover w polskich sieciach przypadała na okres między wrześniem a grudniem 2012 roku. Właśnie wtedy botnet został wyposażony w skrypty pozwalające zaatakować do 10 różnych systemów transakcyjnych polskich banków. Groźne dla polskich użytkowników skrypty zostały usunięte po 4 miesiącach aktywności złośliwego . Według specjalistów z CERT Polska w tym czasie zdążył on zaatakować 39 630 unikalnych adresów IP i był czwartym najczęściej występującym botnetem w polskich sieciach.
- Niestety, ze względu na sposób działania wirusa, jego likwidacja jest znacznie utrudniona, przez co nie można wykluczyć kolejnego ataku na polskich internautów w przyszłości. Jedyną skuteczną metodą obrony przed tego typu atakami jest zachowanie czujności. Aby uchronić się przed stratą środków zgromadzonych na rachunku, użytkownicy powinni pamiętać o zasadzie ograniczonego zaufania wobec niestandardowych komunikatów wyświetlanych w elektronicznych serwisach transakcyjnych - mówi Przemysław Jaroszewski z zespołu CERT Polska.
