A Glupteba vírus a szemünk előtt rejtőzik

A digitális bűnözés egyik legszembetűnőbb tendenciája az, hogy a támadások eszközei árucikkekké váltak – bármi, amire szüksége lehet egy digitális bűnözőnek, a megfelelő áron elérhető. Ebbe beletartoznak a fertőzött eszközökből álló hálózatok is, amelyeket ártó célú tartalom terjesztésére lehet felhasználni.

A SophosLabs riportot publikált “Glupteba malware hides in plain sight”, azaz “A Glupteba vírus a szemünk előtt rejtőzik” címmel.  Ez egy részletes technikai ismertető a Glupteba legújabb eszközeiről, technikáiról és procedúriáról (TTP-iről), kiemelve a felfedezés elkerülésére és a stabil pozíció megszilárdítására vonatkozó képességét.  

• A Glupteba fő célja az, hogy megfertőzze a számítógépet további kártevő komponensek terjesztése érdekében anélkül, hogy ez könnyen felfedezhetővé válna.
• Jelen pillanatban az egyik leggyakoribb payload egy cryptominer. Azonban miután az áldozat hálózatára települt, további eszközöket képes letölteni és végrehajtani, amelyekkel a következőket tudja végrehajtani:
  • rootkitek telepítése a folyamatai és komponensei elrejtésére,
  • böngésző információk ellopása sütik, előzmények és hitelesítő adatok gyűjtésével, illetve a vezérlő szerverére történő küldésével
  • a hálózati kérések átirányítása a saját proxy komponensei telepítésével,
  • hatalmas mennyiségű eszközinformáció kiszűrése – például a tárolt konfigurációs információk, az operációs rendszer verziójának azonosítója, az alaplap sorozatszáma, MAC cím, a lemezmeghajtó sorozatszáma, a gép útmutatója, az operációs rendszer telepítésének dátuma vagy RAM adatai,
  • sebezhető routerek feltörése.

A Glupteba fejlesztői rengeteg időt töltöttek el azon funkciók fejlesztésével, amelyekkel a bot elrejtőzhet a detektálás elől:

• ezek közé olyan megfigyelő eszközök is tartoznak, amelyek folyamatosan monitorozzák a Glupteba saját folyamatait annak érdekében, hogy működésük hibamentes legyen (egy hiba hálózati riasztáshoz vezethetne).
• hozzáadja magát a Windows Defender kivételeinek listájához,
• titokban frissíti, újraindítja és elrejti az ártó célú folyamatokat,
• bitcoin kriptovaluta blockchaint használ arra, hogy titokban frissítse a bot vezérlő szerverének címeit.

Nagy Luca, a Sophos biztonsági kutatója és a riport szerzője szerint: “A leggátlástalanabb threat actorok, azaz a fenyegetések mögött álló bűnözők úgy tervezik meg a vírusaikat, hogy azok rejtőzködőek legyenek. Ez a törekvéseiket tekintve azt jelenti, hogy rejtve maradnak és hosszabb időt töltenek el a hálózatokon, miközben felderítést végeznek és információkat gyűjtenek, hogy meghatározzák a következő lépésüket és finomítsák ártó célú technikáikat. A Glupteba vizsgálata során rájöttünk, hogy a bot mögött álló bűnözők hihetetlen erőfeszítéseket tesznek az önvédelem érdekében. A biztonsági csapatoknak oda kell figyelnie az ilyen jellegű viselkedésre. Emellett a Gluptebát általános célokra tervezték, így számos különböző ártó célú tevékenységre képes a különböző komponensein és kiterjedt, “hátsó ajtóként” szolgáló funkción keresztül.”