Especialistas têm relatado uma nova variante do malware Upatre que foi descoberto na semana passada. A nova versão é mais sofisticado e utiliza comunicação criptografada com o C&Servidor C.
mais cedo, a ameaça contou com o tráfego HTTP usando as portas não-padrão para enviar informações do PC afetado para o servidor remoto, que fez bloqueando a actividade da malwares possível.
Upatre com um New User-Agent
Pesquisadores do grupo de inteligência de segurança da Cisco Talos foram os primeiros a notar a nova variante. Alegadamente, uma das modificações usos do software malicioso icanhazip.com ao invés de checkip.dyndns para reconhecer o endereço IP do alvo.
Upatre também tem um novo mecanismo para evitar a detecção - a ameaça comunica com o C&servidor C através de um novo user-agent que aparece como uma legítima e mal pode ser associado com o tráfego malicioso.
Comunicação criptografada com o C&C Servidor
O novo malware Upatre usa Secure Sockets Layer (SSL) protocolo criptográfico para cobrir que tipo de informação está sendo trocada entre a máquina afetada e o servidor de comando e controle.
pesquisadores da Cisco notar que, embora o malware “sempre teve um componente SSL pequeno”, esta é a primeira especialistas tempo observar um interruptor completo para SSL para o processo de comunicação. A única peça de comunicação não-criptografadas é o processo de identificar o endereço IP. Assim que esta tarefa é concluída, o tráfego fica totalmente criptografado.
Uma grande parte das variantes Upatre anteriores foram distribuídos para a máquina alvo como um arquivo PDF que é um executável. Uma vez que a vítima lança-lo, a ameaça que o download de um documento Adobe para apresentar ao usuário de PC.
A última versão Upatre não contar com esta técnica de distribuição mais. Em vez de, a carga está sendo baixado em segundo plano.
As mudanças observadas pelos especialistas apontam que uma ameaça que tem sido considerado fácil de bloquear pode se transformar em uma peça avançada de malware que é capaz de evitar a detecção assim que infecta o sistema e ocultar o tráfego para o C&Servidor C.