Według Bitdeferent Labs, oba warianty używają algorytmu generacji domeny (DGA), technik zaciemniania kodu, których używali we wcześniejszych wersjach finansowego malware Gameover.
W środę na blogu Bitdefender można było przeczytać, że jeden z wariantów użycia DGA ma największy wpływ na użytkowników z USA, gdzie wykryto 5000 maszyn, które odpowiadały na zawołania botnetu. Drugi wariant zaatakował przede wszystkim użytkowników Ukrainy (1 854 maszyn) i Białorusi (1 192 maszyn).
DGA jest metodą, która pozwala na wygenerowanie na zainfekowanej maszynie listy nazw domen, przez które może się komunikować z centrum kontroli, a tym samym ukryć infrastrukturę botnetu. Bitdefender śledzi infekcje poprzez sinkholing pięciu domen, przez pięć dni dla każdego z botnetów.
W poniedziałek, Bogdan Botezau analityk e-zagrożeń w firmie Bitdefender, powiedział SCMagazine.com, że „bardzo szybko” Gameover się odradza i może stać się o wiele bardziej powszechny niż sugerują oszacowania.
„To jest tylko stosunkowo niewielki procent tego, co się dzieje. Nie jestem pewien, czy wszystkie zakażone komputery zostały włączone w międzyczasie by połączyć się z naszą sinkhole” Botezato powiedział. „Sinkholing domen działa tak, że widzimy komputery, które próbują się połączyć z centrum dowodzenia botnetu.”
Obecnie wydaje się, że twórcy Gameover starają się zadbać o jak najlepszą jakość oprogramowania, przed zaprogramowaniem botnetu tak, by prowadził do szkodliwych aktywności, takich jak kradzież poświadczeń bankowych lub rozprzestrzeniania innych szkodliwych programów.
W czerwcu, federalni prokuratorzy ujawnili 14 oskarżeń przeciw podejrzanemu administratorowi botnetu – Eveniy Bogachev. Został on oskarżony o rozpowszechnianie ransomware Cryptolocker poprzez infrastrukturę Gameover.
„Nawet jeśli atakujący nie robią oszustw w bankach internetowych, mogą nadal użyć go by wgrać inne rzeczy… to był preferowany mechanizm do dostarczenia Cryptolocker.” Dodał Botezatu.
Wieści z firmy Bitdefender pojawiły się, gdy rzekomo inny z przestępców próbował wskrzesić Gameover Zeus botnet. W zeszłym miesiącu, naukowcy z Malovery zidentyfikowali nowe fragmenty złośliwego oprogramowania, ściśle oparte na kodzie Gameover Zeus, który był dostarczany przez wiadomości phishingowe rzekomo legalnych banków. Ten wariant również używał nowej listy DGA w celu ukrycia komunikacji.
