Эксперты SonicWALL (ныне собственность Dell) обнаружили схожий с Cutwail спамбот, который генерирует большое количество HTTP POST- и GET-запросов, чтобы скрыть свои истинные намерения и сбить с толку возможных преследователей.

«Похоже, он старается скрыть значимые, несущие фактическую нагрузку коммуникации в массе безвредных запросов, которые не содержат ничего примечательного, — комментирует Эд Майлз (Ed Miles), старший вирусный аналитик SonicWALL. — Он прячется в собственном трафике».

Спамбот, который SonicWALL именует Wigon.PH_44, раздается со взломанных сайтов, работающих на платформе WordPress. На настоящий момент обнаружено 200 таких ресурсов с суммарным количеством обращений 15 тыс., преимущественно с территории США. Способ компрометации WordPress-сайтов пока не установлен.

Wigon может работать под разными версиями Windows, включая 64-битную ХР и Windows 8. Его функционал не ограничивается рассылкой спама: исследователи также обнаружили компонент для кражи данных из почтовых программ и FTP-приложений, таких как CuteFTP, FTP Commander, FTP Navigator, FileZilla и пр. После инсталляции зловред подключается к C&C-серверу и получает команду на рассылку в спаме других зловредов.

Исследуя новый спамбот, Майлз и его коллега Дипен Десаи (Deepen Desai) отметили его сходство с Cutwail, но пока не готовы счесть Wigon новым вариантом хорошо известной угрозы. «Мы заметили, что зловред получает шаблоны для спам-писем через HTTP-запрос, но они пересылаются в зашифрованном виде, — говорит Десаи. — Такую же особенность в числе прочих мы когда-то наблюдали у Cutwail. Однако утверждать, что это Cutwail, мне кажется преждевременным, хотя проявленное им поведение говорит в пользу сходства».

С арестом автора Blackhole и сокращением использования этого эксплойт-пака поток вредоносного спама с ботнетов, включая Cutwail, несколько снизился. Полагавшиеся на Blackhole злоумышленники теперь вынуждены искать альтернативные способы доставки приносящих доход программ, в первую очередь банкеров и шифрующих файлы блокеров.

Категории: Вредоносные программы, Спам