Ερευνητές ασφάλειας έχουν εντοπίσει μια εξελιγμένη παραλλαγή του διαβόητου malware Pushdo, η οποία κατάφερε να μολύνει περισσότερους από 11.000 υπολογιστές, σε μόλις 24 ώρες.
Το Pushdo, ένα trojan με πολλές δυνατότητες, χρησιμοποιείται για τη διανομή οικονομικών malware όπως ZeuS και SpyEye, αλλά και για την πραγματοποίηση εκστρατειών spam μέσω του botnet Cutwail, από το 2007.
Παρόλο που έχει καταρριφθεί αρκετές φορές στο παρελθόν, το Pushdo ανακάμπτει διαρκώς και συνεχίζει να εξελίσσεται, χρησιμοποιώντας όλο και πιο προηγμένες τεχνικές για την απόκρυψη των επικοινωνιών με τους Command-and-Control (C&C) Servers.
Η νέα παραλλαγή του malware, χρησιμοποιεί έναν μηχανισμό που βασίζεται στον αλγόριθμο DGA (Domain Generation Algorithm), o οποίος έχει σχεδιαστεί για την απόκρυψη των στοιχείων του πραγματικού διακομιστή C&C. O αλγόριθμος αυτός χρησιμοποιείται για τη δυναμική δημιουργία μιας λίστας με domains, από τα οποία ενεργοποιείται μόνο ένα κάθε φορά, καθιστώντας πιο δύσκολο, αν όχι σχεδόν αδύνατο, τον εντοπισμό του.
Σύμφωνα με ερευνητές της Bitdefender, περίπου 6.000 παραβιασμένα υπολογιστικά συστήματα (ανάμεσα στο 1.5 εκατομμύριο μέλη του botnet) φιλοξενούν ήδη την εξελιγμένη έκδοση του Pushdo. Οι χώρες που επηρεάζονται περισσότερο από τη δράση του malware είναι η Ινδία, το Βιετνάμ και η Τουρκία. Χώρες όπως το Ηνωμένο Βασίλειο, η Γαλλία και οι ΗΠΑ έχουν επίσης στοχοποιηθεί.
Η Βitdefender αναφέρει ότι περισσότεροι από 11.00 υπολογιστές έχουν μολυνθεί παγκοσμίως μέσα σε ένα εικοσιτετράωρο.
«Καταφέραμε να παρακολουθήσουμε με επιτυχία το traffic του Pushdo και να αποκτήσουμε μια ιδέα σχετικά με το μέγεθος αυτού του botnet», δήλωσε ο αναλυτής Catalin Cosoi της Βitdefender.
«Η έκταση αυτής της εγκληματικής δραστηριότητας, παρόλο που δεν είναι αρκετά εξελιγμένη, είναι μάλλον ανησυχητική, ενώ υπάρχουν ενδείξεις ότι το botnet είναι ακόμη σε φάση ανάπτυξης», αναφέρει.
Οι ερευνητές έχουν επίσης διαπιστώσει ότι η νέα παραλλαγή του malware χρησιμοποιεί διαφορετικά κλειδιά κρυπτογράφησης για την προστασία των επικοινωνιών μεταξύ των bots και του C&C, όμως το πρωτόκολλο που χρησιμοποιείται για την επικοινωνία παραμένει το ίδιο.
