Gli esperti hanno segnalato una nuova variante del malware Upatre che è stata avvistata la scorsa settimana. La nuova versione è più sofisticato e utilizza la comunicazione crittografata con la C&Server C.
prima, la minaccia invocato il traffico HTTP usando porte non standard per inviare informazioni dal PC infetto al server remoto, che ha reso bloccando l'attività del possibile di malware.
Upatre con un nuovo User-Agent
I ricercatori del gruppo di intelligence di sicurezza di Cisco Talos sono stati i primi a notare la nuova variante. Secondo quanto riferito, uno degli usi modifiche del di malware icanhazip.com invece di checkip.dyndns di riconoscere l'indirizzo IP del bersaglio.
Upatre ha anche un nuovo meccanismo per evitare la rilevazione - la minaccia comunica con il C&Server C attraverso un nuovo user-agent che appare come una legittima e può a malapena a essere associato con il traffico dannoso.
Comunicazione crittografata con la C&C Server
Il nuovo malware Upatre utilizza Secure Sockets Layer (SSL) protocollo crittografico per coprire il tipo di informazioni che viene scambiata tra la macchina colpita e il server di comando e controllo.
ricercatori Cisco notare che, sebbene il malware “ha sempre avuto una piccola componente SSL”, questo è il primo tempo esperti osservano un interruttore completo SSL per il processo di comunicazione. Il pezzo unico di non criptato comunicazione è il processo di identificazione dell'indirizzo IP. Appena completata questa attività, il traffico viene completamente criptato.
Una gran parte dei precedenti varianti Upatre sono stati distribuiti alla macchina di mira come un file PDF che è un eseguibile. Una volta che la vittima lo lancia, la minaccia sarebbe scaricare un documento Adobe per presentare all'utente PC.
L'ultima versione Upatre non si basa su questa tecnica di distribuzione più. Anziché, il carico utile viene scaricato in background.
I cambiamenti osservati dagli esperti sottolineano che una minaccia che è stata considerata facile da bloccare può trasformarsi in un pezzo avanzato di malware che è in grado di evitare il rilevamento non appena infetta il sistema e nascondere il traffico verso la C&Server C.