Experter har rapporterat en ny variant av Upatre skadlig kod som har setts under den senaste veckan. Den nya versionen är mer sofistikerade och använder krypterad kommunikation med C&C-server.
tidigare, hotet förlitat sig på HTTP-trafik med hjälp av icke-standardiserade portar för att skicka information från drabbade datorn till fjärrservern, vilket gjorde att blockera skadliga program aktivitet möjligt.
Upatre med en ny User-Agent
Forskare från Ciscos säkerhets Intelligence Group Talos var de första att lägga märke till den nya varianten. Enligt uppgift, en av de skadliga s modifieringar användningar icanhazip.com istället för checkip.dyndns att känna igen målet IP-adress.
Upatre har också en ny mekanism för att undvika upptäckt - hotet kommunicerar med C&C-server via en ny user-agent som ser ut som en legitim en och kan knappt vara förknippade med skadlig trafik.
Krypterad kommunikation med 'C&C Server
Den nya Upatre malware använder Secure Sockets Layer (SSL) kryptografiskt protokoll för att täcka vilken typ av information utbyts mellan den drabbade maskinen och kommandot och styrservern.
Cisco Forskarna noterar att även om det skadliga programmet ”har alltid haft en liten SSL komponent”, Detta är första gången experter observerar en fullständig övergång till SSL för kommunikationsprocessen. Den enda stycke av icke-krypterad kommunikation är processen att identifiera IP-adressen. Så snart denna uppgift är slutförd, trafiken blir helt krypterad.
En stor del av de tidigare Upatre varianterna delades ut till den målinriktade maskinen som en PDF-fil som är en körbar. När offret lanserar det, hotet skulle hämta ett Adobe-dokument att presentera för PC-användare.
Den sista Upatre versionen inte förlitar sig på denna fördelning teknik längre. Istället, nyttolasten är laddas ner i bakgrunden.
De förändringar som observerades av experter påpekar att ett hot som har ansetts lätt att blockera kan omvandlas till en avancerad bit av skadlig kod som kan undvika upptäckt så snart det infekterar systemet och dölja trafik till C&C-server.