Pushdo botnet evoluciona, se vuelve más resistente a intentos de desmontaje

Investigadores de seguridad de Damballa han encontrado una nueva variante del malware Pushdo que es mejor para ocultar su tráfico de red malicioso y es más resistente a los esfuerzos coordinados de eliminación.

El programa troyano Pushdo se remonta a principios de 2007 y se utiliza para distribuir otras amenazas de malware, como Zeus y SpyEye. También viene con su propio módulo de motor de correo no deseado, conocido como Cutwail, que es directamente responsable de una gran parte del tráfico diario de correo no deseado.

La industria de la seguridad ha intentado cerrar el botnet Pushdo / Cutwail cuatro veces durante el último cinco años, pero esos esfuerzos solo causaron interrupciones temporales.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

En marzo, los investigadores de seguridad de Damballa identificaron nuevos patrones de tráfico malicioso y pudieron rastrearlos. a una nueva variante del malware Pushdo.

"La última variante de PushDo agrega otra dimensión al usar el flujo de dominios con Algoritmos de generación de dominio (DGA) como un mecanismo alternativo a sus métodos normales de comunicación de comando y control (C & C). "Los investigadores de Damballa dijeron el miércoles en una publicación de blog.

El malware genera más de 1,000 nombres de dominio únicos inexistentes todos los días y se conecta a ellos si no puede llegar a sus servidores codificados de C & C. Como los atacantes saben cómo funciona el algoritmo, pueden registrar uno de esos dominios con anticipación y esperar a que los bots se conecten para entregar nuevas instrucciones.

Esta técnica tiene como objetivo dificultar el cierre de los investigadores de seguridad. los servidores de comando y control de botnet o productos de seguridad para bloquear su tráfico de C & C.

"PushDo es la tercera familia de malware importante que Damballa ha observado en los últimos 18 meses para utilizar técnicas de DGA como medio de comunicación con sus C & C ", dijeron los investigadores de Damballa. "Las variantes de la familia de malware ZeuS y el malware TDL / TDSS también usan DGA en sus métodos de evasión".

Investigadores de Damballa, Dell SecureWorks y el Instituto de Tecnología de Georgia trabajaron juntos para investigar la nueva variante del malware y medir su impacto. Sus hallazgos fueron publicados en un informe conjunto publicado el miércoles.

Además de usar técnicas de DGA, la última variante de Pushdo también consulta más de 200 sitios web legítimos de manera regular con el fin de combinar el tráfico de C & C con el tráfico de aspecto normal, el los investigadores dijeron.

Durante la investigación, se registraron 42 nombres de dominio generados por la DGA de Pushdo y se monitorearon las solicitudes para obtener una estimación del tamaño de la botnet.

"Durante el período de casi dos meses, observamos 1,038,915 direcciones IP únicas que registran datos binarios C y C en nuestro sumidero ", dijeron los investigadores en su informe. El recuento diario fue de entre 30,000 a 40,000 direcciones únicas de IP (Protocolo de Internet), dijeron.

Los países con el mayor recuento de infecciones son India, Irán y México, según los datos recopilados. China, que generalmente se encuentra en la parte superior de la lista por otras infecciones botnet, ni siquiera está en el top ten, mientras que los EE. UU. Solo ocupan el sexto lugar.

El malware Pushdo generalmente se distribuye mediante ataques de descarga drive-by-Web "basados ​​en ataques que explotan las vulnerabilidades en los complementos del navegador" o son instalados por otras botnets como parte de los esquemas de pago por instalación utilizados por los ciberdelincuentes, dijeron los investigadores.