Οι ερευνητές ασφαλείας της AT&T Labs δημοσίευσαν μια έκθεση για μία νέα παραλλαγή του PRISM που δεν εντοπίζεται από το VirusTotal. Σύμφωνα με τους ερευνητές, το συγκεκριμένο κακόβουλο λογισμικό βρίσκεται στο ραντάρ τους για περισσότερα από 3,5 χρόνια και θεωρείται σχετικά εύκολο να εντοπιστεί καθώς πρόκειται για απλοϊκό ανοικτού κώδικα backdoor με σαφώς αναγνωρίσιμη κίνηση.Για το λόγο αυτό και τους έκανε εντύπωση το γεγονός ότι τα εκτελέσιμα αρχεία δεν ανιχνεύονται από το VirusTotal.
Μάλιστα, μετά την ανάλυση κατέληξαν στο συμπέρασμα ότι ο C2 server λειτουργούσε για πάνω από 3,5 χρόνια. Ο λόγος που το κατάφερε αυτό είναι πως χρησιμοποιήθηκε σε πολύ μικρές επιθέσεις από τον ελεγκτή του. Αυτό υποδεικνύει ότι οι μικρότερες malware campaigns μπορούν εύκολα να περάσουν χωρίς να ανιχνευθούν από τα διάφορα συστήματα, ενώ οι πιο εμφανείς είναι σχετικά εύκολο να εντοπιστούν.
Οι ερευνητές ονόμασαν μία από τις παραλλαγές του PRISM ως WaterDrop, καθώς χρησιμοποιεί ένα αρκετά εύκολο στην ανίχνευση user agent string (“το agent-waterdropx”) για επικοινωνία με τον C2. Η επικοινωνία γίνεται με HTTP και χρησιμοποιεί subdomains του waterdropx [.] com.
Με πληροφορίες από hackread.com
