Experten haben eine neue Variante der Upatre Malware berichtet, die in der vergangenen Woche entdeckt wurde. Die neue Version ist anspruchsvoller und verwendet eine verschlüsselte Kommunikation mit dem C&C-Server.
Vorhin, die Bedrohung stützte sich auf HTTP-Datenverkehr mit Nicht-Standard-Ports Informationen aus dem betroffenen PC auf den Remote-Server senden, die aus der Tätigkeit der Malware blockiert möglich.
Upatre mit einem neuen User-Agent
Forscher von Cisco Security Intelligence Gruppe waren Talos die erste, die neue Variante bemerken. Wie verlautet, eine der Modifikationen Verwendungen der Malware icanhazip.com Anstatt von checkip.dyndns das Ziel der IP-Adresse zu erkennen,.
Upatre hat auch einen neuen Mechanismus entdeckt zu werden - die Bedrohung steht in Verbindung mit dem C&C-Server über einen neuen User-Agenten, der wie ein legitim erscheint und kann kaum mit schädlichem Datenverkehr in Verbindung gebracht werden.
Verschlüsselte Kommunikation mit dem C&C-Server
Die neue Upatre Malware verwendet Secure Sockets Layer (SSL) kryptographisches Protokoll zu bedecken, welche Art von Informationen zwischen der betroffenen Maschine und dem Befehls- und Steuerserver ausgetauscht wird.
Cisco Forscher beachten Sie, dass, obwohl die Malware „hat immer eine kleine SSL-Komponente hat“, Dies ist das erste Mal Experten eine vollständige Umstellung auf SSL für den Kommunikationsprozess beobachten. Das einzelne Stück nicht-verschlüsselte Kommunikation ist der Prozess, die IP-Adresse zu identifizieren,. Sobald dieser Vorgang abgeschlossen ist, der Verkehr wird vollständig verschlüsselt.
Ein großer Teil der bisherigen Upatre Varianten wurden als PDF-Datei auf die Zielcomputer verteilt, die eine ausführbare Datei ist. Sobald startet das Opfer es, die Gefahr ein Adobe-Dokument würde, um den PC-Benutzer zu präsentieren.
Die letzte Upatre Version basiert nicht auf dieser Verteilungstechnik mehr. Stattdessen, die Nutzlast wird im Hintergrund heruntergeladen.
Die Änderungen von den Experten beobachtet weisen darauf hin, dass eine Bedrohung, die leicht in Betracht gezogen worden ist, kann in ein vorgeschobenes Stück Malware zu blockieren verwandeln, die Erkennung zu vermeiden ist in der Lage, sobald es das System und versteckt den Verkehr auf die C infiziert&C-Server.