Было обнаружено, что ботнет Glupteba включает в себя ранее недокументированную функцию загрузчика Unified Extensible Firmware Interface (UEFI), что добавляет вредоносному ПО еще один уровень сложности и скрытности.
"Этот буткит может вмешиваться и контролировать процесс загрузки [операционной системы], позволяя Glupteba скрывать себя и создавать скрытую сохраняемость, которую может быть чрезвычайно трудно обнаружить и удалить", - сказали исследователи подразделения Palo Alto Networks 42 Лиор Рочбергер и Дэн Яшник в анализе, опубликованном в понедельник.
Glupteba - это полнофункциональный похититель информации и бэкдор, способный способствовать незаконному майнингу криптовалюты и развертыванию прокси-компонентов на зараженных хостах. Также известно, что он использует блокчейн Биткоина в качестве резервной системы командования и управления (C2), что делает его устойчивым к попыткам демонтажа.
Некоторые другие функции позволяют ему доставлять дополнительные полезные нагрузки, перекачивать учетные данные и данные кредитной карты, осуществлять мошенничество с рекламой и даже использовать маршрутизаторы для получения учетных данных и удаленного административного доступа.
За последнее десятилетие модульное вредоносное ПО превратилось в сложную угрозу, использующую сложные многоступенчатые цепочки заражения, чтобы обойти обнаружение решениями безопасности.
Кампания, проведенная в ноябре 2023 года фирмой по кибербезопасности, предполагает использование сервисов с оплатой за установку (PPI), таких как Ruzki, для распространения Glupteba. В сентябре 2022 года Sekoia связала Ruzki с activity clusters, используя PrivateLoader в качестве канала для распространения вредоносного ПО следующего этапа.
Это принимает форму крупномасштабных фишинговых атак, при которых PrivateLoader поставляется под видом установочных файлов для взломанного программного обеспечения, которое затем загружает SmokeLoader, который, в свою очередь, запускает RedLine Stealer и Amadey, причем последний в конечном итоге удаляет Glupteba.
"Субъекты угрозы часто распространяют Glupteba как часть сложной цепочки заражения, распространяющей несколько семейств вредоносных программ одновременно", - объяснили исследователи. "Эта цепочка заражений часто начинается с заражения PrivateLoader или SmokeLoader, которое загружает другие семейства вредоносных программ, а затем загружает Glupteba ".
В знак того, что вредоносное ПО активно поддерживается, Glupteba поставляется с загрузчиком UEFI, включающим модифицированную версию проекта с открытым исходным кодом под названием EfiGuard, который способен отключать защиту от исправлений и принудительное применение подписи драйвера (DSE) во время загрузки.
Стоит отметить, что предыдущие версии вредоносного ПО были обнаружены для "установки драйвера ядра, который бот использует в качестве руткита, и внесения других изменений, которые ослабляют систему безопасности зараженного хоста".
Кампания Glupteba resurfaced в 2023 году была описана как широкомасштабная и затрагивающая множество регионов и отраслей в таких разных странах, как Греция, Непал, Бангладеш, Бразилия, Корея, Алжир, Украина, Словакия, Турция, Италия и Швеция.
"Вредоносное ПО Glupteba продолжает выделяться как яркий пример сложности и адаптивности, демонстрируемых современными киберпреступниками", - заявили исследователи.
"Обнаружение недокументированного метода обхода UEFI в Glupteba подчеркивает способность этого вредоносного ПО к инновациям и уклонению. Более того, экосистема PPI, участвующая в распространении Glupteba, подчеркивает стратегии сотрудничества и монетизации, используемые киберпреступниками в их попытках массового заражения."
"Этот буткит может вмешиваться и контролировать процесс загрузки [операционной системы], позволяя Glupteba скрывать себя и создавать скрытую сохраняемость, которую может быть чрезвычайно трудно обнаружить и удалить", - сказали исследователи подразделения Palo Alto Networks 42 Лиор Рочбергер и Дэн Яшник в анализе, опубликованном в понедельник.
Glupteba - это полнофункциональный похититель информации и бэкдор, способный способствовать незаконному майнингу криптовалюты и развертыванию прокси-компонентов на зараженных хостах. Также известно, что он использует блокчейн Биткоина в качестве резервной системы командования и управления (C2), что делает его устойчивым к попыткам демонтажа.
Некоторые другие функции позволяют ему доставлять дополнительные полезные нагрузки, перекачивать учетные данные и данные кредитной карты, осуществлять мошенничество с рекламой и даже использовать маршрутизаторы для получения учетных данных и удаленного административного доступа.
За последнее десятилетие модульное вредоносное ПО превратилось в сложную угрозу, использующую сложные многоступенчатые цепочки заражения, чтобы обойти обнаружение решениями безопасности.
Кампания, проведенная в ноябре 2023 года фирмой по кибербезопасности, предполагает использование сервисов с оплатой за установку (PPI), таких как Ruzki, для распространения Glupteba. В сентябре 2022 года Sekoia связала Ruzki с activity clusters, используя PrivateLoader в качестве канала для распространения вредоносного ПО следующего этапа.
Это принимает форму крупномасштабных фишинговых атак, при которых PrivateLoader поставляется под видом установочных файлов для взломанного программного обеспечения, которое затем загружает SmokeLoader, который, в свою очередь, запускает RedLine Stealer и Amadey, причем последний в конечном итоге удаляет Glupteba.
"Субъекты угрозы часто распространяют Glupteba как часть сложной цепочки заражения, распространяющей несколько семейств вредоносных программ одновременно", - объяснили исследователи. "Эта цепочка заражений часто начинается с заражения PrivateLoader или SmokeLoader, которое загружает другие семейства вредоносных программ, а затем загружает Glupteba ".
В знак того, что вредоносное ПО активно поддерживается, Glupteba поставляется с загрузчиком UEFI, включающим модифицированную версию проекта с открытым исходным кодом под названием EfiGuard, который способен отключать защиту от исправлений и принудительное применение подписи драйвера (DSE) во время загрузки.
Стоит отметить, что предыдущие версии вредоносного ПО были обнаружены для "установки драйвера ядра, который бот использует в качестве руткита, и внесения других изменений, которые ослабляют систему безопасности зараженного хоста".
Кампания Glupteba resurfaced в 2023 году была описана как широкомасштабная и затрагивающая множество регионов и отраслей в таких разных странах, как Греция, Непал, Бангладеш, Бразилия, Корея, Алжир, Украина, Словакия, Турция, Италия и Швеция.
"Вредоносное ПО Glupteba продолжает выделяться как яркий пример сложности и адаптивности, демонстрируемых современными киберпреступниками", - заявили исследователи.
"Обнаружение недокументированного метода обхода UEFI в Glupteba подчеркивает способность этого вредоносного ПО к инновациям и уклонению. Более того, экосистема PPI, участвующая в распространении Glupteba, подчеркивает стратегии сотрудничества и монетизации, используемые киберпреступниками в их попытках массового заражения."
