מומחים דיווחו גרסה חדשה של התוכנה הזדונית Upatre כי כבר הבחינו בשבוע האחרון. הגרסה החדשה היא יותר מתוחכמת ומשתמשת תקשורת מוצפנת עם C&שרת C.
מוקדם יותר, האיום הסתמך על תעבורת HTTP באמצעות יציאות לא סטנדרטיות לשלוח מידע מהמחשב הנגוע לשרת המרוחק, מה שגרם לחסום את הפעילות הזדונית אפשרי.
Upatre עם ניו User-Agent
חוקרים מקבוצת מודיעין אבטחה של סיסקו טאלוס היו הראשונים להבחין גרסה חדשה. על פי דיווחים, אחד שימושי שינויים של התוכנות הזדוניות icanhazip.com במקום checkip.dyndns להכיר את כתובת ה- IP של היעד.
יש Upatre גם מנגנון חדש כדי למנוע זיהוי - האיום מתקשר עם C&שרת C באמצעות סוכן-משתמש חדש שמופיע כמו אחד לגיטימית יכול להיות קשור בקושי עם תנועה זדונית.
תקשורת מוצפנת עם C&שרת C
התוכנה הזדונית Upatre החדש משתמש ב- Secure Sockets Layer (SSL) פרוטוקול הצפנה כדי לכסות איזה סוג של מידע הוא מוחלף בין המכונית הפגועה לבין שרת שליטה ובקר.
החוקרים סיסקו לציין כי למרות זדוניות "תמיד היו מרכיב SSL קטן", זהו המומחים לראשונה להתבונן מתג מלא SSL לתהליך התקשורת. היצירה היחידה של תקשורת בלתי מוצפנת היא התהליך של זיהוי כתובת IP. ברגע משימה זו הושלמה, התנועה יוצפן באופן מלא.
חלק גדול של גרסאות קודמות Upatre חולקו מכונת ממוקד כקובץ PDF כי הוא הפעלה. ברגע שהקורבן משיק אותו, האיום היה להוריד מסמך Adobe להציג בפני משתמש PC.
גרסת Upatre האחרונה אינה מסתמכת על טכניקת הפצה זה יותר. במקום, המטען מתבצע הורדה ברקע.
השינויים שנצפו על ידי המומחים מציינים כי איום כי כבר נחשב קל לחסום יכול להפוך פיסה מתקדמת של תוכנות זדוניות כי הוא מסוגל למנוע זיהוי מוקדם ככל שהוא מדביק את המערכת ולהסתיר את התנועה אל C&שרת C.