Experts hebben een nieuwe variant van de Upatre malware die is gespot in de afgelopen week gemeld. De nieuwe versie is meer geavanceerde en maakt gebruik van gecodeerde communicatie met de C&C server.
vroeger, de dreiging zich op het HTTP-verkeer met behulp van niet-standaard poorten om informatie van de getroffen pc naar de server op afstand, waardoor het blokkeren van de activiteit van de malware is mogelijk.
Upatre met een New User-Agent
Onderzoekers van security intelligence groep Cisco's Talos waren de eersten die de nieuwe variant merken. Naar Verluidt, een van modificaties gebruik van de malware icanhazip.com in plaats van checkip.dyndns het IP-adres van het doelwit te herkennen.
Upatre heeft ook een nieuw mechanisme om detectie te vermijden - de dreiging communiceert met de C&C server via een nieuwe user-agent die verschijnt als een legitiem en kan nauwelijks worden geassocieerd met kwaadaardig verkeer.
Gecodeerde communicatie met de C&C Server
De nieuwe Upatre malware maakt gebruik van Secure Sockets Layer (SSL) cryptografisch protocol te dekken welke informatie wordt uitgewisseld tussen de betreffende machine en de command and control server.
Cisco onderzoekers constateren dat, hoewel de malware “heeft altijd al een klein SSL component”, dit is de eerste keer dat deskundigen zich aan een volledige overstap naar SSL voor het communicatieproces. Het één stuk van niet-versleutelde communicatie is het proces van het identificeren van het IP-adres. Zodra deze taak is voltooid, het verkeer wordt volledig versleuteld.
Een groot deel van de vorige Upatre varianten werden uitgedeeld aan de beoogde machine als een PDF-bestand dat is een uitvoerbaar. Zodra het slachtoffer lanceert, de dreiging zou een Adobe documenten te downloaden om te presenteren aan de pc-gebruiker.
De laatste Upatre versie is niet afhankelijk van deze verdeling techniek meer. In plaats daarvan, de lading wordt op de achtergrond gedownload.
De veranderingen waargenomen door de deskundigen wijzen erop dat een bedreiging die gemakkelijk heeft overwogen te blokkeren kan transformeren in een geavanceerd stukje malware dat in staat is om detectie zodra het infecteert het systeem te voorkomen en te verbergen het verkeer naar de C&C server.