Le botnet Pushdo évolue et devient plus résistant aux tentatives de démantèlement

Les chercheurs en sécurité de Damballa ont découvert une nouvelle variante du logiciel malveillant Pushdo, qui cache mieux son trafic réseau malveillant et résiste mieux aux efforts de démantèlement coordonnés.

Le programme Pushdo Trojan remonte au début de l'année 2007 et est utilisé pour distribuer d'autres logiciels malveillants, tels que Zeus et SpyEye. Il est également livré avec son propre module de moteur de spam, appelé Cutwail, qui est directement responsable d'une grande partie du trafic de spam quotidien.

L'industrie de la sécurité a essayé de fermer le botnet Pushdo / Cutwail quatre fois durant la dernière

[En savoir plus: Comment supprimer les logiciels malveillants de votre PC Windows]

En mars, les chercheurs en sécurité de Damballa ont identifié de nouveaux modèles de trafic malveillants et ont pu les retracer.

"La dernière variante de PushDo ajoute une autre dimension en utilisant le flux de domaine avec les algorithmes de génération de domaine (DGA) comme mécanisme de repli de ses méthodes de communication normales de commande et de contrôle (C & C), "Les chercheurs de Damballa ont déclaré mercredi dans un article de blog

Le malware génère plus de 1 000 noms de domaines uniques inexistants chaque jour et se connecte à eux s'il ne peut pas atteindre ses serveurs C & C codés en dur. Puisque les attaquants savent comment fonctionne l'algorithme, ils peuvent enregistrer l'un de ces domaines à l'avance et attendre que les robots se connectent afin de fournir de nouvelles instructions.

Cette technique est destinée à empêcher les chercheurs en sécurité de fermer le système.

"PushDo est la troisième grande famille de logiciels malveillants que Damballa a observée au cours des 18 derniers mois pour se tourner vers les techniques DGA comme moyen de communication avec ses C & C », ont déclaré les chercheurs de Damballa. Les chercheurs de Damballa, de Dell SecureWorks et du Georgia Institute of Technology ont travaillé ensemble pour étudier la nouvelle variante du logiciel malveillant et en mesurer l'impact. Leurs découvertes ont été publiées dans un rapport conjoint publié mercredi.

En plus d'utiliser les techniques DGA, la dernière version de Pushdo interroge régulièrement plus de 200 sites Web légitimes afin de fusionner son trafic C & C avec un trafic d'apparence normale.

Au cours de l'enquête, 42 noms de domaine générés par la DGA de Pushdo ont été enregistrés et les demandes qui leur ont été adressées ont été suivies afin d'obtenir une estimation de la taille du botnet.

"Sur une période de près de deux mois nous avons observé 1 038 915 IP uniques affichant des données binaires C & C dans notre gouffre », ont indiqué les chercheurs dans leur rapport. Selon les données recueillies, le nombre quotidien d'infections se situait entre 30 000 et 40 000 adresses IP (Internet Protocol).

Selon les données recueillies, les pays comptant le plus grand nombre d'infections sont l'Inde, l'Iran et le Mexique. La Chine, qui figure généralement en tête de liste pour les autres infections botniques, ne figure même pas parmi les dix premières, tandis que les États-Unis ne se classent qu'au sixième rang.

Le malware Pushdo est généralement distribué via des attaques de téléchargement drive-by Selon les chercheurs, les attaques à base de vulnérabilités qui exploitent les vulnérabilités dans les plug-ins du navigateur ou sont installées par d'autres réseaux de zombies dans le cadre de systèmes de paiement à l'utilisation utilisés par les cybercriminels.