Pushdo botnet evoluează, devine mai rezistent la încercările de eliminare

Cercetătorii de securitate de la Damballa au descoperit o nouă variantă a malware-ului Pushdo, care este mai bine să își ascundă traficul de rețea rău intenționat și este mai rezistent la eforturile de eliminare coordonată. > Programul Trojan Pushdo datează de la începutul anului 2007 și este folosit pentru a distribui alte amenințări malware, cum ar fi Zeus și SpyEye. De asemenea, vine cu un modul propriu de motor de spam, cunoscut sub numele de Cutwail, care este direct responsabil pentru o mare parte a traficului de spam zilnic din lume.

Industria de securitate a încercat să închidă botnetul Pushdo / Cutwail de patru ori în ultimul cinci ani, dar aceste eforturi au avut ca rezultat doar perturbări temporare.

În martie, cercetătorii de securitate de la Damballa au identificat noi modele de trafic rău intenționat și au reușit să le urmărească la o nouă variantă a malware-ului Pushdo

"Ultima variantă a PushDo adaugă o altă dimensiune prin utilizarea fluxului de domenii cu ajutorul algoritmilor de generare a domeniilor (DGA) ca mecanism de rezervă pentru metodele de comunicare normale de comandă și control (C & C) "cercetatorii Damballa au declarat miercuri intr-un post pe blog

. Malware-ul genereaza peste 1000 de nume de domenii inexistente in fiecare zi si se conecteaza la ele daca nu poate ajunge la serverele C & C codate greu. Deoarece atacatorii știu cum funcționează algoritmul, aceștia pot înregistra în prealabil unul dintre acele domenii și pot aștepta ca boții să se conecteze pentru a furniza noi instrucțiuni.

Această tehnică este destinată să îngreuneze cercetătorii de securitate să închidă serverele de comandă și control botnet sau pentru produsele de securitate pentru a bloca traficul C & C.

"PushDo este cea de-a treia familie de malware majore pe care Damballa a observat-o în ultimele 18 luni să se adreseze tehnicilor DGA ca mijloc de comunicare cu C &, a spus cercetatorii Damballa. "Variantele familiei malware ZeuS și malware-ul TDL / TDSS folosesc de asemenea DGA în metodele lor de evaziune."

Cercetătorii de la Damballa, Dell SecureWorks și Institutul de Tehnologie din Georgia au lucrat împreună pentru a investiga noua variantă a malware-ului și a măsura impactul acestuia. Constatările lor au fost publicate într-un raport comun publicat miercuri.

Pe lângă utilizarea tehnicilor DGA, cea mai recentă variantă Pushdo întreabă în mod regulat peste 200 de site-uri legitime pentru a se amesteca în traficul C & C cu trafic obișnuit.

În cursul anchetei, au fost înregistrate 42 de nume de domenii generate de DGA al lui Pushdo și au fost monitorizate cererile adresate acestora pentru a obține o estimare a dimensiunii botnetului

"În perioada de aproape două luni, am observat 1.038.915 de IP-uri unice care postau date binare C & C în galeria noastră ", au spus cercetătorii în raportul lor. Numarul zilnic a fost cuprins intre 30.000 si 40.000 de adrese IP (Internet Protocol) unice, au afirmat ei.

Tarile cu cel mai mare numar de infectii sunt India, Iran si Mexic, potrivit datelor colectate. China, care de obicei se află în partea de sus a listei pentru alte infecții botnet, nu este chiar în top zece, în timp ce SUA este doar pe locul șase.

Malware-ul Pushdo este, în general, distribuit prin atacuri de descărcare atacuri bazate pe atacuri care exploatează vulnerabilitățile în plug-in-urile de browser sau sunt instalate de alte botnete ca parte a schemelor de plăți per instalare folosite de infractorii cibernetici, au afirmat cercetătorii.