Trojan Downloader "Upatre" Recebe Criptografia SSL Completa

O extremamente popular trojan downloader Upatre, sofreu algumas mudanças consideráveis ​​que vão tornar a sua comunicação mais difícil de ser detectada e bloqueada. As mudanças foram implementadas nas novas variantes detectadas e analisadas na semana passada por pesquisadores Talos Group da Cisco, e incluem: Um sistema de criptografia SSL quase completo, em referência ao tráfego de e para o servidor C & C. "Toda a comunicação após a identificação do endereço IP a partir de sites públicos, foi colocada dentro de uma sessão SSL com um processo de identificação da ameaça ficando ainda mais difícil. Antes, o tráfego era a partir do protocolo HTTP através de portas não-padrão e só ocasionalmente havia a utilização da criptografia SSL. A parcela não-criptografada, agora só representa menos de 1% dos dados transferidos entre o host comprometido e servidores C2.



Uma Nova Maneira de Obter o Endereço IP do Sistema e um Novo User-Agent

As amostras anteriores todas feitas a partir de solicitações GET para checkip.dyndns.org, a fim de obter o endereço IP do sistema comprometido. Esta nova variante mudou para icanhazip.com como o local usado para a identificação do IP.


Uma Nova Forma de Entrega de Malware Adicional

A maioria das variantes Upatre anteriores, costumavam ser entregues aos usuários através de um executável disfarçado como um arquivo em formato PDF. Uma vez executado, o programa malicioso iria baixar um documento Adobe e exibi-lo para que as vítimas "não desconfiassem de nada, e o atual Upatre, passaria então a baixar malware adicional (muitas vezes o Dyre info-stealing).


Saiba Mais:

[1] Malware News http://www.net-security.org/malware_news.php?id=3020