Eksperter har rapporteret en ny variant af den Upatre malware, der er blevet spottet i den forløbne uge. Den nye version er mere sofistikeret og bruger krypteret kommunikation med C&C server.
tidligere, truslen påberåbt HTTP-trafik ved hjælp af ikke-standardiserede porte til at sende oplysninger fra det berørte pc til den eksterne server, hvilket gjorde blokering muligt malware aktivitet.
Upatre med en ny User-Agent
Forskere fra Ciscos sikkerhed intelligens gruppe Talos var den første til at opdage den nye variant. Angiveligt, en af malware modifikationer anvendelser icanhazip.com i stedet for checkip.dyndns at anerkende målet IP-adresse.
Upatre har også en ny mekanisme til at undgå afsløring - truslen kommunikerer med C&C server via en ny bruger-agent, der vises som en legitim én og kan næsten ikke være forbundet med ondsindet trafik.
Krypteret kommunikation med C&C Server
Den nye Upatre malware bruger Secure Sockets Layer (SSL) kryptografisk protokol til at dække, hvad slags oplysninger bliver udvekslet mellem det angrebne maskine og kommando og kontrol-server.
Cisco forskere opmærksom på, at selv om malware ”har altid haft en lille SSL komponent”, dette er første gang eksperterne observere en fuld kontakt til SSL til kommunikationsprocessen. Det enkelte stykke af ikke-krypteret kommunikation er processen med at identificere IP-adressen. Så snart denne opgave er fuldført, trafikken bliver fuldt krypteret.
En stor del af de tidligere Upatre varianter blev uddelt til den målrettede maskinen som en PDF-fil, der er en eksekverbar. Når offeret lancerer det, truslen vil downloade et Adobe-dokument til at forelægge pc-bruger.
Den sidste Upatre versionen er ikke afhængig af denne fordeling teknik længere. I stedet, nyttelasten bliver downloadet i baggrunden.
De observerede af eksperterne ændringer påpege, at en trussel, der er blevet anset for let at blokere, kan forvandle sig til en avanceret stykke malware, der er i stand til at undgå at blive opdaget, så snart det inficerer systemet og skjule trafik til C&C server.