Ocho semanas después de que los piratas informáticoscomprometido la página web oficial de PHPy atado con código de ataque, los investigadores de seguridad externos han descubierto evidencia de que algunos visitantes fueron expuestos a malware que es altamente inusual, si no el único.
Seculert sede en Israel, dijo que cerca de 6.500 ordenadores están infectados por DGA.Changer, un título de malware cuyo único trabajo es para descargar subrepticiamente otro malware en los sistemas comprometidos. Uno de los cinco tipos de malware distintos sirvió a los visitantes de php.net del 22 de octubre al 24 de octubre DGA.Changer emplea una novedosa manera de evadir la detección y desmontaje intentos. Al igual que los troyanos anteriores equipados con algoritmos dominio generación, DGA.Changer es capaz de hacer sobre la marcha de los cambios a los-comando y control (C2) los nombres de dominio que infectan las máquinas de contactos para enviar datos y recibir instrucciones. Eso obstaculiza las campañas de derribo que simplemente toman el control de los nombres de dominio C2. DGA.Changer toma este movimiento evasivo un paso más allá al permitir a los operadores cambiar el algoritmo \ "semilla \" que genera un conjunto específico de dominios pseudo-aleatorios.
\ "Como resultado, son extremadamente difíciles de detectar por los métodos tradicionales de seguridad (es decir, aquellos que sólo utilizan una caja de arena), ya que la muestra inicial se revelará el nombre de dominio arroyos antes del cambio, que ya no se resuelve al servidor C2, \ "Seculert investigador y director de tecnología Aviv Raff escribieron en unentrada de blog publicada el miércoles. Los investigadores suelen utilizarSandbox de cucoy los sistemas de análisis de malware automatizadas similares para correr muestras de malware descubiertos recientemente en un entorno controlado. Si las semillas DGA.Changer en las cajas de arena no coinciden con los de versiones que se ejecutan en la naturaleza, los investigadores no pueden seguir vigilando las comunicaciones enviadas a los servidores de C2.
Leer 7 párrafos restantesComentarios
     |
| Tweet |
No hay comentarios:
Publicar un comentario