Pushdo botnet utvecklas, blir mer motståndskraftigt för att ta bort försök

Säkerhetsforskare från Damballa har hittat en ny variant av Pushdo-malware som är bättre att dölja sin skadliga nätverkstrafik och är mer motståndskraftig mot samordnade takedown-ansträngningar.

Pushdo Trojan-programmet går tillbaka till början av 2007 och används för att distribuera andra malwarehot, som Zeus och SpyEye. Den kommer också med sin egen skräppostmodul, känd som Cutwail, som är direkt ansvarig för en stor del av världens dagliga spamtrafik.

Säkerhetsindustrin har försökt stänga Pushdo / Cutwail botnet fyra gånger under det senaste fem år, men dessa ansträngningar resulterade bara i tillfälliga störningar.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

I mars identifierade säkerhetsforskare från Damballa nya skadliga trafikmönster och kunde spåra dem tillbaka till en ny variant av Pushdo-malware.

"Den senaste varianten av PushDo lägger till en annan dimension genom att använda domänflussning med Domain Generation Algorithms (DGA) som en backback-mekanism till sin vanliga kommando- och kontrollmetoder (C & C) "Damballa-forskarna sa onsdag i ett blogginlägg.

Malware genererar över 1.000 icke-existerande unika domännamn varje dag och ansluter till dem om den inte kan nå sina hårdkodade C & C-servrar. Eftersom attackerna vet hur algoritmen fungerar kan de registrera en av domänerna i förväg och vänta på att botsna ska anslutas för att leverera nya instruktioner.

Denna teknik är avsedd att göra det svårt för säkerhetsforskare att stänga av botnet kommando- och kontrollservrar eller för säkerhetsprodukter för att blockera sin C & C-trafik.

"PushDo är den tredje stora malwarefamiljen som Damballa har observerat under de senaste 18 månaderna för att vända sig till DGA-tekniker som ett sätt att kommunicera med sin C & C, säger Damballaforskarna. "Varianter av ZeuS malware-familjen och TDL / TDSS-malware använder sig också av DGA i sina undvikande metoder."

Forskare från Damballa, Dell SecureWorks och Georgia Institute of Technology samarbetade för att undersöka malwareens nya variant och mäta dess inverkan. Deras resultat publicerades i en gemensam rapport som släpptes onsdag.

Förutom att använda DGA-tekniker, frågar den senaste Pushdo-varianten regelbundet över 200 legitima webbplatser för att blanda sin C & C-trafik med vanlig trafik, forskare sa.

Under undersökningen registrerades 42 domännamn som genererades av Pushdo's DGA, och efterfrågningarna till dem övervakades för att få en uppskattning av botnetets storlek.

"Under perioden på nästan två månader, vi observerade 1.038.915 unika IP-datorer som skickar C & C-binära data till vårt sinkhole ", sa forskarna i sin rapport. Det dagliga räkningen var mellan 30 000 och 40 000 unika IP-adresser (Internet Protocol), sa de.

De länder med högsta infektionsantal är Indien, Iran och Mexiko enligt de insamlade uppgifterna. Kina, som oftast ligger högst upp i listan för andra botninfektioner, är inte ens i topp tio, medan USA bara är på sjätte plats.

Pushdo-skadlig kod distribueras generellt genom drev-nedladdningsattacker-Web baserade attacker som utnyttjar sårbarheter i webbläsarens plugin-program, eller installeras av andra botnät som en del av betalningssystem som används av cyberkriminella, säger forskarna.