Eksperter har rapportert om en ny variant av Upatre malware som har blitt oppdaget i den siste uken. Den nye versjonen er mer sofistikert og bruker kryptert kommunikasjon med C&C-serveren.
Tidligere, trusselen avhengig av HTTP-trafikk ved hjelp av ikke-standard porter for å sende informasjon fra de berørte PC til den eksterne serveren, som gjorde blokkerer den skadelige aktivitet mulig.
Upatre med en ny brukeragent
Forskere fra Ciscos sikkerhet etterretning gruppe Talos var den første til å legge merke til den nye varianten. Velig, en av de skadelige modifikasjoner bruker icanhazip.com i stedet for checkip.dyndns å gjenkjenne målet IP-adresse.
Upatre har også en ny mekanisme for å unngå å bli oppdaget - trusselen står i forbindelse med C-&C serveren via en ny brukeragent som ser ut som et legitimt og kan knapt være forbundet med ondsinnet trafikk.
Kryptert kommunikasjon med C&C Server
Den nye Upatre malware bruker Secure Sockets Layer (SSL) kryptografisk protokoll for å dekke hvilken informasjon blir utvekslet mellom de berørte maskinen og kommando og kontrollserveren.
Cisco forskere oppmerksom på at selv om malware “har alltid hatt en liten SSL-komponent”, Dette er første gang ekspertene observere en fullstendig bryter for å SSL for kommunikasjonsprosessen. Den eneste stykke av ikke-kryptert kommunikasjon er prosessen med å identifisere IP-adressen. Så snart denne oppgaven er fullført, trafikken blir fullt kryptert.
En stor del av de tidligere Upatre varianter ble distribuert til målrettet maskinen som en PDF-fil som er en kjørbar. Når offeret lanserer det, trusselen ville laste ned en Adobe dokument å presentere for PC-bruker.
Den siste Upatre versjonen ikke er avhengig av denne fordelingen teknikken lenger. I stedet, nyttelasten blir lastet ned i bakgrunnen.
Endringene iakttatt ved hjelp av eksperter påpeker at en trussel som har vært ansett lett å blokkere kan omdanne til et avansert stykke skadelig programvare som er i stand til å unngå å bli oppdaget så snart som den infiserer systemet og skjule trafikk til den C-&C-serveren.