Come agisce il malware Glupteba

SophosLabs rivela l’evoluzione di Glupteba in rete di distribuzione di malware sofisticata ed estremamente difficile da intercettare, il suo funzionamento è in grado di creare backdoor che spalancano le porte ai dispositivi infetti, i quali vengono aggiunti alla sua botnet in continua crescita.

La diffusione di Glupteba avviene attraverso siti web legittimi utilizzando ADinjection e viene sfruttato con lo scopo di diffondere browser stealer o router exploiter.

Il rapporto di SophosLabs spiega in modo approfondito le tecniche  (TTP) utilizzate da Glubteba per eludere i sistemi di sicurezza e continuare il proprio attacco indisturbato, attualmente, uno degli espedienti più utilizzati è il cryptominer che, una volta installato nella rete della vittima, può scaricare ed eseguire strumenti aggiuntivi che gli consentono di:

  • Installare rootkit per nascondere i propri processi e componenti
  • Rubare le informazioni del browser raccogliendo i cookie, la cronologia e le credenziali inviandole al server di comando e controllo
  • Inoltrare le richieste di rete installando i propri componenti proxy
  • Estrapolare una elevata quantità di dati del dispositivo, tra cui le informazioni di configurazione memorizzate, il numero BUILD del sistema operativo, il numero di serie della scheda madre, l’indirizzo MAC, il numero di serie dell’unità disco, la data di installazione del sistema operativo o della RAM
  • Compromettere i router vulnerabili

 

Gli sviluppatori di Glupteba hanno dedicato le proprie energie ad assicurarsi che la loro creazione possa eludere i sistemi di rilevamento in diversi modi:

 

  • utilizzando i file Watchers che monitorano continuamente le prestazioni dei processi di Glupteba in modo che funzionino senza errori che potrebbero poi innescare un allarme sulla rete
  • Aggiungere Glupteba alle liste di esclusione dei Windows Defender
  • Aggiornare, riavviare e camuffare i processi malevoli
  • Utilizzare la blokchain dei bitcoin per aggiornare segretamente gli indirizzi dei server di comando e controllo del bot

Luca Nagy, security researcher at Sophos e autore principale del report, ha spiegato:

“I più astuti cybercryminali progettano il loro malware in modo da farlo passare assolutamente inosservato. Per farlo, raccolgono il maggior numero di informazioni per impostare le proprie mosse e affinare le loro tecniche. Mentre analizzavamo Glupteba, ci siamo resi conto che gli hacker che gestiscono il bot investono una grande quantità di tempo ed energie per l’autodifesa. Inoltre, Glupteba è stato progettato per essere generico, in grado di implementare una vasta gamma di diverse attività dannose attraverso i suoi diversi componenti e le sue ampie funzioni di backdoor”.

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


Torna in alto