Palo Alto Networks vindt nieuwe variant van ‘Infy’ malware

Palo Alto Networks® (NYSE: PANW), de aanbieder van next-generation security, maakt vandaag bekend dat de ontwikkelaars van de malware familie ‘Infy’ zich hebben herpakt door de malware te vernieuwen.

Deze nieuwe versie van ‘Infy’, die Foudre is genoemd, bevat nieuwe C2 (command-and-control servers) mechanismes, waardoor het moeilijker is de malware te onderscheppen. De aanvallers maken gebruik van ‘domain generation algorithms’ (DGA) om domeinnamen aan te maken. Daarnaast gebruiken ze een identificatie mechanisme die RSA-handtekeningen gebruikt om de server, die de malware verstuurd, te laten overkomen als een betrouwbare C2-server.

Vorig jaar maart ontdekte Unit42 de malware familie Infy. De malware wordt verspreid via spear-phishing e-mails die een Word- of PowerPoint-document bevatten. Deze documenten bevatten multi-layer Self-Extracting Executable Archive (SFX) bestanden. Zodra slachtoffers bijvoorbeeld een filmpje of link in het desbetreffende Word- of Powerpoint-document aanklikken, zullen de SFX-bestanden worden uitgevoerd en zal de malware zich installeren. De malware verzamelt in het begin voornamelijk omgevingsdata zoals browser wachtwoorden en gebruikt deze data om toegang te verkrijgen tot serverdata om bijvoorbeeld bedrijfsgegevens te achterhalen.

Klanten van Palo Alto Networks zijn op de volgende manieren beveiligd:
• Alle Foudre-samples zijn gecategoriseerd als kwaadaardig door WildFire;
• Domeinen die gerelateerd zijn aan de Foudre-dreiging zijn gecategoriseerd als kwaadaardig;
• Klanten van AutoFocus kunnen de Foudre-tag gebruiken om de dreiging te monitoren.