Suchen

Malware vermischt bösartige und legitime HTTP-Anfragen Pushdo rekrutiert 100.000 neue Cutwail-Spam-Bots

| Redakteur: Stephan Augsten

Sicherheitsspezialisten von Dell SecureWorks warnen vor einer neuen Variante des Malware-Downloaders Pushdo. Der Downloader wird in der Regel dazu verwendet, Computer ins Spam-Botnetz Cutwail einzugliedern. Um weniger aufzufallen, versendet Pushdo auch reguläre HTTP-Anfragen.

Firma zum Thema

Dank Pushdo ist das Cutwail-Botnetz wieder um 100.000 Zombie-PCs gewachsen.
Dank Pushdo ist das Cutwail-Botnetz wieder um 100.000 Zombie-PCs gewachsen.

Anfang August hat die Dell SecureWorks Counter Threat Unit (CTU) eine neue Pushdo-Variante entdeckt. Seither wurden rund 100.000 Rechner mithilfe des Downloaders kompromittiert.

In der neuen Pushdo-Variante haben die Sicherheitsforscher Verweise auf über 300 vertrauenswürdige Webseiten entdeckt. Der Malware-Downloader stellt nach dem Zufallsprinzip HTTP-Verbindungen mit diesen Domains her, um die Kommunikation mit seinen Command-and-Control-Servern (C&C-Servern) zu verschleiern.

Pushdo wird über diese Server vornehmlich dazu angewiesen, die Cutwail Spam-Bot Engine herunterzuladen und auf dem kompormittierten Rechner zu installieren. Der infizierte PC wird somit ins Cutwail-Botnetz eingegliedert, das maßgeblich am Versand von Spam-, Phishing- und Malware-Mails beteiligt ist.

Der Downloader selbst gelangt verhältnismäßig oft als Drive-by-Exploit über das Internet auf den Rechner, also im Vorbeisurfen. Pushdo ist bereits seit März 2007 in Umlauf und wird stetig weiterentwickelt. Im August 2010 war es beinahe gelungen, Pushdo und Cutwail außer Gefecht zu setzen – doch die Botnetz-Betreiber konnten die Strukturen letztlich aufrecht erhalten.

Anfang 2010 hatte die Pushdo-Variante ihre Kommunikation mit den C&C-Servern ähnlich getarnt: sie baute über den TCP-Port 443 zahlreiche gefälschte SSL-Verbindungen zu legitimen Webservern auf. Im aktuellen Fall werden einige der kontaktierten Webseiten regelrecht von den Anfragen überwältigt, schreibt der Sicherheitsforscher Brett Stone-Gross im Blog der Dell Secure Works CTU. Mithilfe von Filtern könnten betroffene Webseiten-Betreiber allerdings dafür sorgen, dass die Anfragen fallen gelassen werden.

(ID:35452020)