Gameover to nowa mutacja wirusa ZeuS, który wciąż stanowi realne zagrożenie dla internautów - ostrzega CERT Polska. Złośliwe oprogramowanie pozwala cyberprzestępcom na modyfikowanie treści stron internetowych banków w celu wyłudzania środków zgromadzonych na rachunku. W 2012 roku wirus zaatakował kilkadziesiąt tysięcy unikalnych adresów IP i znalazł się w pierwszej piątce najgroźniejszych botnetów w polskich sieciach komputerowych.
Dotychczasowe mutacje ZeuS-a oparte były o jeden lub kilka adresów, służących do centralnego zarządzania wirusem, które mogły być łatwo namierzone i zablokowane. Gameover jednak wykorzystuje własną sieć P2. do komunikacji i dystrybucji danych. To oznacza, że do przesyłania komunikatu nie potrzebuje centralnej kontroli i może swobodnie krążyć pomiędzy zainfekowanymi komputerami. Jak podkreślają eksperci, wykorzystanie nowego sposobu komunikacji, za pomocą sieci P2P znacznie utrudnia walkę ze złośliwym oprogramowaniem i pozwala przestępcom dłużej pozostawać w ukryciu. Dodatkowo, nawet jeśli mechanizm P2P zostanie zablokowany, wirus może automatycznie przełączyć się na zapasowy kanał komunikacyjny - DGA.
Przy użyciu Gameover cyberprzestępcy mogą modyfikować treść elektronicznych serwisów transakcyjnych i wyświetlać na monitorze użytkownika fałszywe komunikaty, często bardzo podobne do tych pochodzących z banku. Polscy użytkownicy, atakowani w drugiej połowie 201. roku, po zalogowaniu się na stronie swojego banku otrzymywali monit nakłaniający do wykonania przelewu na określony numer konta. Nie mieli przy tym żadnej możliwości weryfikacji, czy wyświetlana strona nie została zmodyfikowana, co mogło doprowadzić do nieświadomego transferowania środków na konta przestępców.
Jak wynika z raportu CERT Polska, największa aktywność wirusa Gameover w polskich sieciach przypadała na okres między wrześniem a grudniem 201. roku. Właśnie wtedy botnet został wyposażony w skrypty pozwalające zaatakować do 10 różnych systemów transakcyjnych polskich banków. Groźne dla polskich użytkowników skrypty zostały usunięte po 4 miesiącach aktywności złośliwego oprogramowania. Według specjalistów z CERT Polska w tym czasie zdążył on zaatakować 39 630 unikalnych adresów IP i był czwartym najczęściej występującym botnetem w polskich sieciach.
