Symantec: Новый троян использует SPF-протокол для заражения компьютеров

image

Теги: троян, Symantec, сервер

Используемая вредоносной программой техника позволяет ей оставаться незамеченной на компьютере жертвы.

Symantec обнаружила новую троянскую программу, которая показывает пользователям поддельные рекламные объявления во время просмотра web-страниц. Троян использует расширение для протокола отправки электронной почты SPF (Sender Policy Framework, структура политики отправителя) для получения инструкций от злоумышленников. Такая техника позволяет вредоносной программе оставаться незамеченной на компьютере жертвы.

Главной задачей трояна, который получил название Spachanel, является внедрение вредоносного Javascript сценария в каждую web-страницу, которая открывается в браузере пользователя. Об этом в своем блоге заявил специалист из компании Symantec Такаши Катцуки (Takashi Katsuki).

Вредоносная программа внедряет элементы HTML-кода, которые, в свою очередь, загружают Javascript файлы с удаленного URL-адреса. Код Javascript сценария отображает поддельные рекламные объявления, которые появляются во всплывающих окнах, и после каждого нажатия на него пользователями злоумышленники генерируют определенный доход.

Наиболее интересным аспектом вредоносной программы является способ, которым она получает обновленные URL-адреса от злоумышленников для использования во внедряемом HTML-коде.

Троян периодически генерирует доменное имя в соответствии с заданным алгоритмом и подыскивает подходящий SPF-протокол. Мошенники заранее знают, какой именно домен будет сгенерирован, они регистрируют его и настраивают для него SPF с IP-адресами и хостами, которые позволят вредоносной программе создать новые URL-адреса.

Отметим, что политика с использованием SPF-протокола должна проверять подлинность писем электронной почты. Однако, в случае с трояном Spachanel, этот протокол генерирует список поддельных хостов. Это позволяет злоумышленникам скрыть вредоносный трафик от межсетевых экранов и другого ПО, обеспечивающего безопасность компьютерных систем и блокирующего прямые подключения с уже известными вредоносными C&C-серверами.

«В некоторых случаях определенные домены блокируются локальным DNS-сервером, однако обнаруженный троян создает такие доменные имена, которые редко фильтруются», - отметил Катцуки.


или введите имя

CAPTCHA