Symantec: Обнаружен троян использует SPF-протокол


SymantecСпециалистами компании Symantec была обнаружена новая троянская программа Spachanel, показывающая пользователям поддельные рекламные объявления во время просмотра web-страниц. Троян использует расширение для протокола отправки электронной почты SPF (Sender Policy Framework - структура политики отправителя) для получения инструкций от злоумышленников. Данная техника позволяет вредоносной программе оставаться незамеченной на компьютере жертвы.

Главная задача трояна - внедрение вредоносного Javascript сценария в каждую web-страницу, которая открывается в браузере пользователя.

Вредоносная программа внедряет элементы HTML-кода, которые загружают Javascript файлы с удаленного URL-адреса. Код Javascript сценария отображает поддельные рекламные объявления, появляющиеся во всплывающих окнах, и после каждого нажатия на него пользователями злоумышленники получают определенный доход.

Интерес у специалистов Symantec вызвал способ, которым вредонос получает обновленные URL-адреса от злоумышленников для использования во внедряемом HTML-коде.

Троян периодически генерирует доменное имя в соответствии с заданным алгоритмом и подыскивает подходящий SPF-протокол. Мошенники заранее знают, какой именно домен будет сгенерирован, поэтому они регистрируют его и настраивают для него SPF с IP-адресами и хостами, позволяющими вредоносной программе создать новые URL-адреса.

Напоминаем, политика с использованием SPF-протокола должна проверять подлинность писем электронной почты. Однако, в случае с трояном Spachanel, этот протокол генерирует список поддельных хостов, что позволяет злоумышленникам скрыть вредоносный трафик от межсетевых экранов и другого ПО, обеспечивающего безопасность компьютерных систем и блокирующего прямые подключения с уже известными вредоносными C&C-серверами.

Специалисты утверждают, что обнаруженный троян создает такие доменные имена, которые редко фильтруются.


Обновлено (29.01.2013 20:50)