La botnet Glupteba vuelve a estar activa y sigue utilizando

La botnet Glupteba vuelve a estar activa y sigue utilizando la cadena de bloques

La botnet Glupteba, que fue interrumpida por Google el año pasado, está activa nuevamente e infecta dispositivos en todo el mundo. Según investigadores de Nozomi , la nueva campaña de Glupteba comenzó en junio de 2022 y aún continúa.

Permítanme recordarles que en diciembre de 2021 , Google eliminó cuentas y también deshabilitó servidores y dominios asociados con la botnet Glupteba. Además, la empresa ha presentado una demanda contra los rusos Dmitry Starovikov y Alexander Filippov, a los que acusa de crear y operar una botnet. La compañía ha ganado recientemente este tribunal .

En diciembre de 2021, Google informó que eliminó alrededor de 63 millones de archivos de Google Docs que los operadores de Glupteba usaron para distribuir su malware, así como 1183 cuentas de Google, 908 proyectos en la nube y 870 cuentas de Google Ads que los piratas informáticos también usaron para alojar varias partes de su botnet. .

Estupidez

La botnet Glupteba se documentó por primera vez en un  informe de ESET  en 2011, y en 2021 se consideró una de las botnets más antiguas del mundo que atacó a usuarios en los EE. UU., India, Brasil y el sudeste asiático.

Glupteba solo atacó sistemas Windows y se basó en software pirateado o pirateado y esquemas de pago por instalación para propagarse. Habiendo penetrado en el dispositivo, el malware cargó varios módulos que podían realizar tareas especializadas.

En las máquinas comprometidas, Glupteba robó credenciales y cookies, extrajo criptomonedas e implementó y operó componentes de proxy dirigidos a sistemas Windows y dispositivos IoT.

Uno de los  módulos de botnet más notorios  fue capaz de propagar la infección desde una computadora con Windows a los enrutadores MikroTik que se encuentran en las redes internas. Se cree que este módulo en particular se usó a principios de 2021 para construir   la botnet Mēris , responsable de algunos de los ataques DDoS más grandes.

El invierno pasado, los expertos admitieron que era poco probable que sus acciones detuvieran la botnet y que lo más probable es que solo causaran inconvenientes temporales a los operadores de Glupteba, ya que el malware se creó originalmente con un sistema C&C de respaldo que se ejecuta sobre la cadena de bloques de Bitcoin. Sin embargo, Google esperaba que Glupteba redujera su actividad durante al menos unos meses.

Como informa Nozomi ahora, todo sucedió exactamente como esperaban los expertos de Google. La botnet vuelve a estar activa y todavía usa la cadena de bloques de Bitcoin para evitar fallas cuando recibe listas actualizadas de servidores de comando y control que deben contactarse para ejecutar comandos.

Los clientes de botnet obtienen la dirección del servidor C&C a través de una función que enumera los servidores de billetera Bitcoin, recupera transacciones y las analiza para encontrar la dirección cifrada AES. Esta estrategia ha sido utilizada por Glupteba durante varios años, proporcionando a la botnet tolerancia a fallas.

El informe también señala que, sin una clave privada de Bitcoin, los organismos encargados de hacer cumplir la ley no pueden llevar a cabo una adquisición repentina de una red de bots o interrumpir su funcionamiento de manera efectiva, como, por ejemplo, se hizo con Emotet a principios de 2021.

El único inconveniente de esta táctica es la disponibilidad pública de la cadena de bloques, por lo que cualquier persona puede acceder a ella y examinar las transacciones para recopilar información. Que es exactamente lo que hicieron los analistas de Nozomi. Los expertos hicieron un gran trabajo al escanear la cadena de bloques y examinar más de 1500 muestras de Glupteba cargadas en VirusTotal (para extraer direcciones de billetera e intentar descifrar cargas útiles en transacciones usando claves relacionadas con malware).

discover function

Los investigadores de Nozomi también utilizaron registros de DNS pasivos para buscar dominios y hosts de Glupteba, y estudiaron el conjunto de certificados TLS utilizados por el malware para tener una mejor idea de la infraestructura de la botnet.

Como resultado, la investigación reveló 15 direcciones de bitcoin utilizadas en cuatro campañas de Glupteba, la última de las cuales comenzó en junio de 2022 (medio año después de la operación de Google). Esta campaña aún está activa y utiliza más direcciones de bitcoin que las anteriores, lo que hace que la red de bots sea más resistente.

La dirección más «productiva» encontrada tuvo 11 transacciones y contactó con 1197 muestras de malware. Su última actividad se registró el 8 de noviembre de 2022.

campaigns1

Además, resultó que la cantidad de servicios Tor utilizados por la botnet como servidores de control se ha multiplicado por diez en comparación con la campaña de 2021.

Nozomi también informa que detectó registros de dominio masivos para Glupteba (el último se vio el 22 de noviembre de 2022), que se capturó utilizando datos de DNS pasivo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *