Новый троян для заражения использует SPF-протокол

Symantec обнаружила новую троянскую программу, которая показывает пользователям поддельные рекламные объявления во время просмотра web-страниц. Троян использует расширение для протокола отправки электронной почты SPF (Sender Policy Framework, структура политики отправителя) для получения инструкций от злоумышленников. Такая техника позволяет вредоносной программе оставаться незамеченной на компьютере жертвы.
Главной задачей трояна, который получил название Spachanel, является внедрение вредоносного Javascript сценария в каждую web-страницу, которая открывается в браузере пользователя. Об этом в своем блоге заявил специалист из компании Symantec Такаши Катцуки (Takashi Katsuki).
Вредоносная программа внедряет элементы HTML-кода, которые, в свою очередь, загружают Javascript файлы с удаленного URL-адреса. Код Javascript сценария отображает поддельные рекламные объявления, которые появляются во всплывающих окнах, и после каждого нажатия на него пользователями злоумышленники генерируют определенный доход.
Наиболее интересным аспектом вредоносной программы является способ, которым она получает обновленные URL-адреса от злоумышленников для использования во внедряемом HTML-коде.
Троян периодически генерирует доменное имя в соответствии с заданным алгоритмом и подыскивает подходящий SPF-протокол. Мошенники заранее знают, какой именно домен будет сгенерирован, они регистрируют его и настраивают для него SPF с IP-адресами и хостами, которые позволят вредоносной программе создать новые URL-адреса.
Отметим, что политика с использованием SPF-протокола должна проверять подлинность писем электронной почты. Однако, в случае с трояном Spachanel, этот протокол генерирует список поддельных хостов. Это позволяет злоумышленникам скрыть вредоносный трафик от межсетевых экранов и другого ПО, обеспечивающего безопасность компьютерных систем и блокирующего прямые подключения с уже известными вредоносными C&C-серверами.
«В некоторых случаях определенные домены блокируются локальным DNS-сервером, однако обнаруженный троян создает такие доменные имена, которые редко фильтруются», — отметил Катцуки.

Источник: securitylab.ru

Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s