Uma variante do malware Pushdo usa técnicas de geração de domínio, caso as comunicações normais falhem, dizem pesquisadores
Os pesquisadores da empresa de segurança Damballa identificaram uma nova variante do malware Pushdo, que é melhor em esconder seu tráfego malicioso e é mais resistente aos esforços coordenados para derrubada da rede.
O Cavalo de Troia (do início de 2007) é usado para distribuir outras ameaças de malware, como Zeus e SpyEye. Ele também é equipado com seu próprio módulo spam, conhecido como Cutwail, que é diretamente responsável por grande parte do tráfego de spam diário mundial.
A indústria de segurança tentou derrubar a botnet (rede de computadores zumbis) Pushdo/Cutwail quatro vezes durante os últimos cinco anos, mas esses esforços só resultaram em interrupções temporárias.
Em março, pesquisadores de segurança da Damballa identificaram novos padrões de tráfego malicioso e foram capazes de rastreá-los, chegando à nova variante do malware Pushdo. "A última variante acrescenta uma outra dimensão ao usar técnicas de geração de domínio (domain flux) como um mecanismo de resposta normal ao seu método de comunicação de comando e controle (C&C)", disseram os pesquisadores da Damballa, na quarta-feira (15) em um post no blog da empresa.
O malware gera mais de mil nomes inexistentes de domínios únicos a cada dia, e se conecta a eles se não conseguir alcançar seus servidores C&C codificados. Uma vez que os crackers sabem como o algoritmo funciona, eles podem registrar um desses domínios com antecedência e aguardar os bots para conectar, a fim de entregar novas instruções.
Essa técnica tem como objetivo tornar mais difícil para os pesquisadores de segurança derrubar os servidores de comando e controle da botnet, ou para produtos de segurança bloquear o tráfego do C&C.
"O Pushdo é a terceira maior família de malware que Damballa tem observado nos últimos 18 meses a adotar técnicas de geração de domínio como um meio de se comunicar com o seu servidor", disseram os pesquisadores da empresa. "As variantes da família do malware ZeuS e do malware TDL/TDSS também usam esse método de evasão."
Os pesquisadores da Damballa, da Dell SecureWorks e do Instituto de Tecnologia da Geórgia trabalham em conjunto para investigar a nova ameaça e medir o seu impacto. Os resultados foram publicados em um relatório (pdf) divulgado na quarta-feira.
Além de utilizar técnicas de geração de domínio, a variante do Pushdo também consulta mais de 200 sites legítimos em uma base regular, a fim de misturar o seu tráfego C&C com o tráfego de aparência normal, disseram os pesquisadores.
Durante a investigação, 42 nomes de domínio gerados pelo Pushdo foram registrados e as solicitações feitas a eles foram monitorados a fim de obter uma estimativa do tamanho da botnet.
Saiba como remover este código malicioso:
Fonte: IDGNOW
Nenhum comentário:
Postar um comentário