Исследователи зафиксировали распространение новой модификации вируса Sazoora, предназначенного для похищения конфиденциальных данных.
По словам технического директора Seculert Авива Раффа (Aviv Raff), обнаруженная компанией новая версия вируса Sazoora была изменена и дополнена функционалом обхода песочницы.
«Вместо того, чтобы немедленно приступать к выполнению вредоносных действий (ред. – по аналогии с первой версией трояна), Sazoora.B ожидает около 15 минут, прежде чем проявлять активность. Из-за соблюдения этой фазы покоя вирус обнаружить невозможно», - поясняет Рафф в своем блоге.
Другим существенным отличием является тот факт, что модифицированный троян сначала устанавливает связь со своим C&C сервером перед началом передачи похищенных данных. Таким образом вирус проходит аутентификацию на подконтрольной злоумышленникам системе (с использованием электронных подписей).
«Такая авторизация позволяет Sazoora убедиться, что сервер принадлежит атакующей стороне и предотвращает утечку информации, - подчеркивает Рафф. – Также это обеспечивает определенную защиту от попыток захвата контроля над ботнетом».
В течение последнего месяца, по данным исследователей, в Сети произошло не менее 23 тысяч случаев заражения этим вирусом. Большей частью эти инциденты произошли в Австрии, Швейцарии, Бельгии и США.
Ознакомиться с отчетом Seculert можно здесь .