Eine neue Passwort stehlende ZeuS-Variante, bekannt als Gameover, verwendet eine Verschlüsselung, um in fremde Computer zu gelangen. ZeuS hatte zuletzt auch mit den Angriffen gegen Bitcoin-Anwender in China und CryptoLocker zu tun.

Gary Warner, Sicherheitsexperte von Malcovery Security erklärte in seinem Blog, wie ZeuS neuerdings vorgeht. Spam-Mitteilungen, die eine .zip Datei enthalten, laden die verschlüsselten ZeuS-Versionen herunter. Die Dateien haben .exe-Erweiterungen, die von den aktuellsten Sicherheitsprogrammen (wie Firewalls und Angriffserkennungssystemen) entdeckt werden, aber die neue verschlüsselte Datei hat eine .enc-Endung, die derzeit noch keinen Alarm auslöst. Malcovery Security alarmierte diesbezüglich die Sicherheitsanalysten, nachdem es heraus gefunden hatte, dass der Virus-Scanservice VirusTotal nicht in der Lage waren, die Malware zu identifizieren.

Die .zip-Datei entschlüsselt die .enc-Datei, sobald sie auf das infizierte System heruntergeladen wurde. Die .enc-Datei selbst ist keine Anwendungsdatei und schlüpft somit durch die Sicherheitssysteme. Daher müssen die Autoren der Malware es irgendwie hinkriegen, die Datei am Ziel zu decodieren. Sie tun dies mittels der .zip-Datei, die eine neue Version der Anwendung UPATRE beinhaltet, die zunächst die .enc-Datei vom Internet herunterlädt, sie dann entschlüsselt und unter einem neuen Namen speichert. Anschließend werden beide ausgeführt und damit ist das System verseucht.

Artikel von theregister.co.uk, 04.02.2014: Gameover ZeuS adds nasty trick
Artikel von computerworld.com, 03.02.2014: Hackers use ‚.enc‘ trick to deliver Zeus banking malware