Tα τελευταία χρόνια, οι εγκληματίες του κυβερνοχώρου έχουν κάνει αρκετές βελτιώσεις στην οικογένεια του DirtJumper malware. Μια νέα παραλλαγή που ανακαλύφθηκε από εμπειρογνώμονες της Arbor Networks, ονομάστηκε “Drive” και περιέχει μερικά ενδιαφέροντα χαρακτηριστικά.
Η κακόβουλη εφαρμογή είναι γραμμένη με Delphi και διαθέτει μια πολύ πιο ισχυρή μηχανή distributed denial-of-service (DDOS) σε σύγκριση με τις προηγούμενες εκδόσεις.
Εκτός από τη βελτιωμένη μηχανή για DDOS, οι ερευνητές ανακάλυψαν νέα σημεία διόικησης και ελέγχου (C & C) σε servers που διανέμουν δεδομένα συμπιεσμένα με Gzip.
“Το Drive τρέχει 2 POST floods, 1 GET flood, 2 connection + data floods και ένα UDP flood – αν και το UDP flood δεν παρατηρήθηκε σε όλες τις περιπτώσεις. Έχει επίσης τη δυνατότητα να παράγει query string από τυχαία δεδομένα για να προσθέτει επιπλέον stress σε ένα διακομιστή, όταν φιλοξενεί login σελίδες, σελίδες αναζήτησης, κλπ, “αναφέρει ο Jason Jones της Arbor Networks.
Η νέα μηχανή για DDOS που χρησιμοποιεί διαθέτει επίσης ένα νέο αλγόριθμο κρυπτογράφησης string ο οποίος είναι παρόμοιος με τον αλγόριθμο Khan.
Σύμφωνα με την Arbor, η νέα έκδοση δεν κυκλοφορεί ακόμα στα “mainstream” underground forums και έχουν ανακαλύφθεί προς το παρον μόνο 15 hostnames για C&C.
Ωστόσο, οι επιθέσεις στις οποίες έχει χρησιμοποιηθεί το Drive είναι πολύ ισχυρές. Για παράδειγμα, οι ειδικοί έχουν εντοπίσει περιπτώσεις στις οποίες το κέντρο διοίηκησης και ελέγχου C&C ονόμασαν πάνω από 60 στόχους με την μία και για εκτεταμένα χρονικά διαστήματα.
Το Drive προτιμά σαν στόχους τις δημοφιλείς online εμπορικές σελίδες, κάποιο ένα δημοφιλές site με ειδήσεις ασφάλειας, μια μηχανή αναζήτησης, και μια σειρά ξένων χρηματοπιστωτικών ιδρυμάτων.
Η ολοκληρωμένη τεχνική ανάλυση της νέας παραλλαγής του DirtJumper είναι διαθέσιμη στο blog της Arbor Networks
