O botnet do Pushdo está evoluindo, tornando-se mais resiliente às tentativas de remoção

O programa Pushdo Trojan remonta ao início de 2007 e é usado para distribuir outras ameaças de malware, como o Zeus e o SpyEye. Ele também vem com seu próprio módulo de mecanismo de spam, conhecido como Cutwail, que é diretamente responsável por uma grande parte do tráfego diário de spam do mundo.

O setor de segurança tentou desligar o botnet Pushdo / Cutwail quatro vezes durante o último cinco anos, mas esses esforços só resultaram em interrupções temporárias.

[Leia mais: Como remover malware do seu PC com Windows]

Em março, pesquisadores de segurança da Damballa identificaram novos padrões de tráfego malicioso e conseguiram rastreá-los para uma nova variante do malware Pushdo.

"A última variante do PushDo adiciona outra dimensão usando o fluxo de domínio com Algoritmos de Geração de Domínio (DGAs) como um mecanismo de fallback para seus métodos de comunicação normais de comando e controle (C & C). "Os pesquisadores da Damballa disseram na quarta-feira em um post no blog.

O malware gera mais de 1.000 nomes de domínio únicos inexistentes todos os dias e se conecta a eles se não conseguirem acessar seus servidores C & C codificados. Como os invasores sabem como o algoritmo funciona, eles podem registrar um desses domínios antecipadamente e aguardar que os bots se conectem para fornecer novas instruções.

Essa técnica destina-se a dificultar a desativação dos pesquisadores de segurança. os servidores de comando e controle da botnet ou para que os produtos de segurança bloqueiem seu tráfego de C & C.

"PushDo é a terceira maior família de malware que Damballa observou nos últimos 18 meses para usar as técnicas da DGA como meio de comunicação com a C & C ", os pesquisadores Damballa disseram. "Variantes da família de malware ZeuS e o malware TDL / TDSS também usam DGA em seus métodos de evasão".

Pesquisadores da Damballa, Dell SecureWorks e Georgia Institute of Technology trabalharam juntos para investigar a nova variante do malware e medir seu impacto. Suas descobertas foram publicadas em um relatório conjunto divulgado na quarta-feira.

Além de usar técnicas DGA, a última variante do Pushdo também consulta mais de 200 sites legítimos regularmente para misturar seu tráfego C & C com tráfego de aparência normal. pesquisadores disseram.

Durante a investigação, 42 nomes de domínio gerados pela DGA de Pushdo foram registrados e os pedidos feitos a eles foram monitorados a fim de obter uma estimativa do tamanho da botnet.

"Durante o período de quase dois meses, nós observamos 1.038.915 IPs únicos postando dados binários de C & C em nosso sumidouro ", disseram os pesquisadores em seu relatório. A contagem diária foi entre 30.000 a 40.000 endereços IP (Internet Protocol) únicos, eles disseram.

Os países com a maior contagem de infecção são a Índia, Irã e México, de acordo com os dados coletados. A China, que geralmente está no topo da lista de outras infecções de botnet, não está nem entre as dez primeiras, enquanto os EUA estão apenas na sexta posição.

O malware Pushdo é geralmente distribuído através de ataques de download drive-by-Web. ataques baseados na Internet que exploram vulnerabilidades em plug-ins de navegador ou que são instalados por outras botnets como parte de esquemas de pagamento por instalação usados ​​por criminosos cibernéticos, disseram os pesquisadores.