Τα Windows XP είναι επισήμως νεκρά, τουλάχιστον από τη σκοπιά της Microsoft, αλλά εξακολουθούν να υπάρχουν εκατομμύρια χρήστες που τα χρησιμοποιούν και αυτός είναι ο κύριος λόγος για τον οποίο οι κυβερνο-εγκληματίες στοχεύουν αυτά τα συστήματα.
Η AppRiver, μια εταιρεία που παρέχει λύσεις ασφάλειας στον κυβερνοχώρο για το ηλεκτρονικό ταχυδρομείο και τα Web προϊόντα, αναφέρει τώρα μια νέα spam καμπάνια η οποία διανέμει το Upatre downloader σε χρήστες σε όλο τον κόσμο, αλλά αυτή τη φορά, το κακόβουλο λογισμικό εκτελείται μόνο σε έναν υπολογιστή με Windows XP.
Αυτή η νέα spam καμπάνια έρχεται ως e-mail με θέμα «Συμφωνία δικηγόρου-πελάτη» και προσπαθεί να ξεγελάσει τους χρήστες στο άνοιγμα αρχείων ZIP όπου είναι παγιδευμένο το trojan Upatre.
Η AppRiver λέει ότι η εκστρατεία αυτή είναι διαφορετική από τις άλλες εκστρατείες spam, διότι το ZIP αρχείο αποτελείται από τρία τυχαία ονόματα, τα οποία είναι πάντα διαφορετικά σε κάθε e-mail, γεγονός που καθιστά δύσκολο για τα φίλτρα spam για να μπλοκάρουν τα μηνύματα με βάση το όνομα αρχείου του συνημμένου του.
Εάν ο χρήστης πέσει θύμα του μακροσκελούς κειμένου του e-mail ανεπιθύμητης αλληλογραφίας, που χρησιμοποιεί μια γνωστή τακτική αγωγή εκφοβισμού, οι χρήστες θα βρεθούν με Upatre στους υπολογιστές τους.
Το Upatre, που επισημάνθηκε αρχικά τον Αύγουστο του 2013 μετά την κατάρρευση της Blackhole Exploit Kit, είναι γνωστό ότι είναι ένα Trojan downloader, ένα κακόβουλο λογισμικό το οποίο φέρνει μόνο επικίνδυνα malware στις μολυσμένες μηχανές. Στο παρελθόν, το Upatre έχει χρησιμοποιηθεί για να κατεβάσει κομμάτια κακόβουλου λογισμικού όπως τα Dyreza, Rovnix, Crilock, και Zeus.
Η πιο πρόσφατη έκδοση του Upatre είναι λιγότερο επικίνδυνη, επειδή τρέχει μόνο σε μηχανήματα XP, διακόπτοντας τη λειτουργία ενός από τα εσωτερικά φίλτρα του, όταν εκτελούνται σε μια διαφορετική πλατφόρμα.
Όταν βρεθεί σε έναν υπολογιστή με XP, το κακόβουλο λογισμικό αρχίζει να αναλαμβάνει διαδικασίες συστήματος, προσθέτοντας καταχωρήσεις μητρώου, κλείνοντας τα πιστοποιητικά ασφαλείας και ελέγχει για εργαλεία εντοπισμού σφαλμάτων αντίστροφης-μηχανικής.
Αφού γίνει όλο αυτό, στη συνέχεια στέλνει τη διεύθυνση IP του χρήστη και τις τοπικές OS λεπτομέρειες σε έναν C & C εξυπηρετητή που βρίσκεται στο 197.149.90.166:12299 και περιμένει για περισσότερες οδηγίες.
“Ακόμα και στα Windows XP αυτά τα δείγματα φάνηκαν λίγο ξεχαρβαλωμένα σαν να ήταν έτοιμα να κρασάρουν μετά από ένα αρκετά σύντομο χρονικό διάστημα, αλλά είχαν το καλύτερο ποσοστό επιτυχίας για τις μηχανές XP”, δήλωσε ο Fred Touchette της AppRiver, ο οποίος προσθέτει επίσης ότι αναμένουν να δουν πιο προηγμένες εκδόσεις αυτού του Upatre που στοχεύει τα XP μηχανήματα μέσα στις επόμενες μέρες.
