Złośliwy botnet Glupteba, który Google zdołał wyłączyć dokładnie rok temu, powraca i wydaje się bardziej odporny niż wcześniej.
Eksperci Nozomi ds. cyberbezpieczeństwa znaleźli zapisy certyfikatów TLS, transakcji blockchain, a także próbki Glupteba poddane inżynierii wstecznej, które ich zdaniem wskazują na nową kampanię na dużą skalę, która wydaje się rozpocząć zeszłej wiosny i wciąż żyje.
Glupteba jest opisywana jako modułowe złośliwe oprogramowanie obsługujące technologię blockchain, którego celem jest wydobywanie kryptowaluty na zainfekowanych punktach końcowych, a także kradzież danych uwierzytelniających użytkowników i plików cookie. Ponadto może wdrażać serwery proxy, które cyberprzestępcy następnie sprzedają jako „domowe serwery proxy” każdemu, kto jest skłonny zapłacić.
Kopanie kryptowalut
Złośliwe oprogramowanie zazwyczaj podszywa się pod oprogramowanie darmowe i uzyskuje zaktualizowaną listę serwerów C2 za pośrednictwem łańcucha blokowego Bitcoin. Ponieważ konfiguracja serwera C2 nie jest kosztowna ani czasochłonna, a blockchain Bitcoin jest niezmienny, usunięcie botnetu jest nie lada wyzwaniem.
Jednak transakcje na łańcuchu bloków Bitcoin są publiczne i pseudonimowe, co oznacza, że każdy może je śledzić i analizować, ostatecznie stwierdzając, kto stoi za każdym adresem lub transakcją.
Do tej pory operatorzy Glupteba używają 15 adresów Bitcoin, z których ostatni został aktywowany w czerwcu 2022 r. Oznacza to, że odrodzona wersja ma więcej adresów niż stara, co czyni ją nieco bardziej odporną. Mówiono też, że akcja wciąż trwa. Ponadto dziesięć razy więcej ukrytych usług TOR jest używanych jako serwery C2. Najbardziej aktywny adres zarejestrował 11 transakcji i dotarł do 1.197 próbek złośliwego oprogramowania.
Google usunął poprzedniego złośliwego botnetu Glupteba w grudniu 2021 roku. Firma pomyślnie uzyskała sądowy nakaz zajęcia infrastruktury botnetu. Złożył też skargę na dwóch rosyjskich operatorów, przypomina BleepingComputer.
Zobaczmy, jak długo Glupteba wytrzyma tym razem.
- Oto nasze zestawienie najlepszych obecnie zapór sieciowych (otwiera się w nowej karcie).
Przez: BleepingComputer (Otwiera się w nowej karcie)