Symantec: Новый троян использует SPF-протокол для заражения компьютеров

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 29 янв 2013.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Используемая вредоносной программой техника позволяет ей оставаться незамеченной на компьютере жертвы.

    Symantec обнаружила новую троянскую программу, которая показывает пользователям поддельные рекламные объявления во время просмотра web-страниц. Троян использует расширение для протокола отправки электронной почты SPF (Sender Policy Framework, структура политики отправителя) для получения инструкций от злоумышленников. Такая техника позволяет вредоносной программе оставаться незамеченной на компьютере жертвы.

    Главной задачей трояна, который получил название Spachanel, является внедрение вредоносного Java-сценария в каждую web-страницу, которая открывается в браузере пользователя. Об этом в своем блоге заявил специалист из компании Symantec Такаши Катцуки (Takashi Katsuki).

    Вредоносная программа вставляет элементы HTML-сценария, которые, в свою очередь, загружают файлы с Java с удаленного URL-адреса. Код Java-сценария отображает поддельные рекламные объявления, которые появляются во всплывающих окнах, и после каждого нажатия на него пользователями злоумышленники генерируют определенный доход.

    Наиболее интересным аспектом вредоносной программы является способ, которым она получает обновленные URL-адреса от злоумышленников для использования поддельных HTML-сценариев.

    Троян периодически генерирует доменное имя в соответствии с заданным алгоритмом и подыскивает подходящий SPF-протокол. Мошенники заранее знают, какой именно домен будет сгенерирован, они регистрируют его и настраивают для него SPF с IP-адресами и хостами, которые позволят вредоносной программе создать новые URL-адреса.

    Отметим, что политика с использованием SPF-протокола должна проверять подлинность писем электронной почты. Однако, в случае с трояном Spachanel, этот протокол генерирует список поддельных хостов. Это позволяет злоумышленникам скрыть вредоносный трафик от межсетевых экранов и другого ПО, обеспечивающего безопасность компьютерных систем и блокирующего прямые подключения с уже известными вредоносными C&C-серверами.

    В целях выполнения поиска по SPF-протоколу, вредоносная программа обращается к доверенному DNS-серверу, который расположен в локальной сети или сети интернет-провайдера. Далее этот сервер отправляет запросы на другие DNS-серверы, и так до того времени, пока запрос не достигнет надежного DNS-сервера, предоставляющего доменные имена, отвечающего на запрос TXT- или SPF-записями, содержащими политики SPF-протокола.

    «В некоторых случаях определенные домены блокируются локальным DNS-сервером, однако обнаруженный троян создает такие доменные имена, которые редко фильтруются», - отметил Катцуки.

    Источник
     
    3 пользователям это понравилось.

Поделиться этой страницей