Les experts ont fait état d'une nouvelle variante du malware Upatre qui a été repéré la semaine dernière. La nouvelle version est plus sophistiqué et utilise une communication cryptée avec le C&Serveur C.
Plus tôt, la menace invoquée sur le trafic HTTP en utilisant des ports non standard pour envoyer des informations à partir du PC affecté au serveur distant, qui a fait bloquer l'activité du malware possible.
Upatre avec un nouveau User-Agent
Des chercheurs du groupe de renseignement de sécurité de Cisco Talos ont été les premiers à remarquer la nouvelle variante. Censément, l'une des utilisations des modifications du Malware icanhazip.com au lieu de checkip.dyndns de reconnaître l'adresse IP de la cible.
Upatre dispose également d'un nouveau mécanisme pour éviter la détection - la menace communique avec le C&serveur C via un nouveau-agent utilisateur qui apparaît comme légitime et peut à peine être associé à trafic malveillant.
Communication avec le C Encrypted&C serveur
Le nouveau malware utilise Upatre Secure Sockets Layer (SSL) protocole cryptographique pour couvrir le type d'informations sont échangées entre la machine affectée et la commande et le serveur de contrôle.
Cisco chercheurs font remarquer que même si le programme malveillant « a toujours eu un petit composant SSL », ce sont les premiers experts de temps observent un interrupteur complet SSL pour le processus de communication. La pièce unique de communication non codée est le processus d'identification de l'adresse IP. Dès que cette tâche est terminée, le trafic se entièrement chiffrées.
Une grande partie des variantes précédentes Upatre ont été distribués à la machine ciblée sous forme de fichier PDF qui est un exécutable. Une fois que la victime le lance, la menace serait télécharger un document Adobe pour présenter à l'utilisateur de PC.
La dernière version Upatre ne repose pas plus sur cette technique de distribution. Au lieu, la charge utile est en cours de téléchargement en arrière-plan.
Les changements observés par les experts soulignent qu'une menace qui a été considéré comme facile à bloquer peut se transformer en une pièce avancée de logiciels malveillants qui est en mesure d'éviter la détection dès qu'il contamine le système et cacher le trafic vers C&Serveur C.