Вредоносный ботнет Glupteba, который Google удалось отключить ровно год назад, вернулся и кажется более устойчивым, чем раньше.
Эксперты Nozomi по кибербезопасности обнаружили записи сертификатов TLS, транзакций блокчейна, а также реконструированные образцы Glupteba, которые, по их мнению, указывают на новую крупномасштабную кампанию, которая, похоже, началась прошлой весной и все еще жива.
Glupteba описывается как модульное вредоносное ПО с поддержкой блокчейна, целью которого является майнинг криптовалюты на зараженных конечных точках, а также кража учетных данных пользователей и файлов cookie. Кроме того, он может развертывать прокси-серверы, которые злоумышленники затем продают как «домашние прокси» всем, кто готов платить.
криптоминерия
Вредоносное ПО обычно маскируется под бесплатное ПО и получает обновленный список серверов C2 через блокчейн Биткойн. Поскольку установка C2-сервера не требует больших затрат и времени, а биткойн-блокчейн неизменен, уничтожение ботнета представляет собой довольно сложную задачу.
Однако транзакции в блокчейне Биткойн являются общедоступными и псевдонимными, а это означает, что любой может отслеживать и анализировать их, в конечном итоге делая вывод, кто стоит за каждым адресом или транзакцией.
На данный момент операторы Glupteba используют 15 биткойн-адресов, последний из которых был активирован в июне 2022 года. Это означает, что обновленная версия имеет больше адресов, чем старая, что делает ее немного более устойчивой. Также было сказано, что кампания все еще продолжается. Кроме того, в качестве C2-серверов используется в десять раз больше скрытых служб TOR. Самый активный адрес зафиксировал 11 транзакций и достиг 1.197 образцов вредоносных программ.
Google удалил предыдущий вредоносный ботнет Glupteba в декабре 2021 года. Компания успешно получила судебный ордер на арест инфраструктуры ботнета. Он также подал жалобу на двух российских операторов, напоминает BleepingComputer.
Посмотрим, сколько продержится Глуптеба на этот раз.
- Вот наш обзор лучших брандмауэров (откроется в новой вкладке) прямо сейчас
Через: BleepingComputer (открывается в новой вкладке)
