La botnet Pushdo si sta evolvendo, diventa più resistente ai tentativi di takedown

I ricercatori di sicurezza di Damballa hanno trovato una nuova variante del malware Pushdo che è meglio nascondere il traffico di rete malevolo ed è più resistente agli sforzi coordinati di rimozione.

Il programma Pushdo Trojan risale ai primi mesi del 2007 e viene utilizzato per distribuire altre minacce malware, come Zeus e SpyEye. Arriva anche con il suo modulo del motore di spam, noto come Cutwail, che è direttamente responsabile di gran parte del traffico quotidiano di spam del mondo.

Il settore della sicurezza ha provato a chiudere la botnet Pushdo / Cutwail quattro volte durante l'ultima cinque anni, ma quegli sforzi hanno solo provocato interruzioni temporanee.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

A marzo, i ricercatori di sicurezza di Damballa hanno identificato nuovi modelli di traffico malevolo e sono stati in grado di rintracciarli indietro a una nuova variante del malware Pushdo.

"L'ultima variante di PushDo aggiunge un'altra dimensione utilizzando il domain flussing con algoritmi di generazione di domini (DGA) come meccanismo di fallback ai suoi normali metodi di comunicazione command-and-control (C & C), "I ricercatori di Damballa hanno detto mercoledì in un post sul blog.

Il malware genera ogni giorno oltre 1.000 nomi di domini univoci inesistenti e si connette a loro se non riesce a raggiungere i suoi server C & C hard-coded. Poiché gli hacker sanno come funziona l'algoritmo, possono registrare uno di questi domini in anticipo e attendere che i robot si connettano per fornire nuove istruzioni.

Questa tecnica ha lo scopo di rendere difficile per i ricercatori della sicurezza chiudere il i server command-and-control di botnet o per i prodotti di sicurezza bloccano il traffico C & C.

"PushDo è la terza famiglia di malware che Damballa ha osservato negli ultimi 18 mesi per utilizzare le tecniche DGA come mezzo di comunicazione con il C & C ", hanno detto i ricercatori di Damballa. "Le varianti della famiglia di malware ZeuS e il malware TDL / TDSS utilizzano anche DGA nei loro metodi di evasione."

I ricercatori di Damballa, Dell SecureWorks e il Georgia Institute of Technology hanno lavorato insieme per studiare la nuova variante del malware e misurarne l'impatto. Le loro scoperte sono state pubblicate in un rapporto congiunto pubblicato Mercoledì.

Oltre all'utilizzo delle tecniche DGA, l'ultima variante di Pushdo richiede regolarmente oltre 200 siti Web legittimi per integrare il traffico C & C con un traffico dall'aspetto normale, Durante l'indagine, sono stati registrati 42 nomi di dominio generati dal DGA di Pushdo e le richieste fatte a loro sono state monitorate al fine di ottenere una stima delle dimensioni della botnet.

"Nel periodo di quasi due mesi, abbiamo osservato 1.038.915 IP unici che pubblicano i dati binari C & C nel nostro sinkhole ", hanno detto i ricercatori nel loro rapporto. Il conto giornaliero era compreso tra 30.000 e 40.000 indirizzi IP (Internet Protocol) univoci, hanno detto.

I paesi con il più alto numero di infezioni sono India, Iran e Messico, secondo i dati raccolti. La Cina, che di solito è in cima alla lista per altre infezioni botnet, non è nemmeno nella top ten, mentre gli Stati Uniti sono solo al sesto posto.

Il malware Pushdo è generalmente distribuito attraverso attacchi di download drive-by-Web I ricercatori hanno affermato che gli attacchi basati su exploit che sfruttano le vulnerabilità nei plug-in del browser o che sono installati da altre reti bot come parte degli schemi pay-per-install utilizzati dai criminali informatici.