Μια καμπάνια malware που δημιουργεί ένα backdoor που παρέχει πλήρη πρόσβαση σε παραβιασμένους υπολογιστές με Windows, ενώ τους προσθέτει σε ένα αναπτυσσόμενο botnet, έχει αναπτύξει ορισμένα ασυνήθιστα μέτρα για να παραμείνει μη ανιχνεύσιμη. Το malware Glupteba εμφανίστηκε για πρώτη φορά το 2018.
Το malware αναπτύσσεται συνεχώς και τους τελευταίους μήνες φαίνεται ότι έχει αναβαθμιστεί με νέες τεχνικές και τακτικές για να συμπέσει με μια νέα καμπάνια που έχει αναλυθεί από ερευνητές της Sophos.
Η έρευνα περιγράφει το Glupteba ως “malware με εξαιρετικές αυτοάμυνες” με την εγκληματική ομάδα στον κυβερνοχώρο πίσω από το malware να δίνει ιδιαίτερη προσοχή στην “βελτίωση των λειτουργιών που επιτρέπουν στο κακόβουλο λογισμικό να αποφύγει τον εντοπισμό”.
Ωστόσο, η μέθοδος διανομής της είναι σχετικά απλή: ομαδοποιείται σε πειρατικό λογισμικό, συμπεριλαμβανομένων σπασμένων εκδόσεων εμπορικών εφαρμογών, καθώς και παράνομων λήψεων βιντεοπαιχνιδιών. Η ιδέα είναι απλώς να καταφέρει όσο το δυνατόν περισσότερους χρήστες να κάνουν λήψη κάποιας παραβιασμένης εφαρμογής.
Για να εξασφαλιστεί η καλύτερη δυνατή πιθανότητα επιτυχούς παραβίασης, το malware εισέρχεται σταδιακά, σιγά-σιγά στο σύστημα για να αποφευχθεί η ανίχνευση από οποιοδήποτε antivirus που ενδέχεται να έχει εγκαταστήσει ο χρήστης. Το κακόβουλο λογισμικό χρησιμοποιεί επίσης την ευπάθεια EternalBlue SMB για να το βοηθήσει να εξαπλωθεί κρυφά σε δίκτυα.
Αλλά δεν τελειώνει εκεί η απόκρυψη και η αυτοάμυνα, γιατί ακόμη και μετά την εγκατάσταση, το Glupteba ξεγλιστρά για να μην ανιχνευθεί.
“Οι δημιουργοί φαίνεται να έχουν καταβάλει ασυνήθιστη προσπάθεια για την ενίσχυση των δυνατοτήτων απόκρυψης του bot σε σύγκριση με άλλα κακόβουλα προγράμματα”, δήλωσε ο Andrew Brandt, κύριος ερευνητής της Sophos.
Το Glupteba χρησιμοποιεί μια σειρά από εκμεταλλεύσεις λογισμικού για κλιμάκωση προνομίων, κυρίως ώστε να μπορεί να εγκαταστήσει έναν kernel driver που χρησιμοποιεί το bot ως rootkit και να κάνει άλλες αλλαγές που αποδυναμώνουν την ασφάλεια ενός μολυσμένου κεντρικού υπολογιστή.
Η τελευταία καμπάνια της Glupteba περιγράφεται ως σχετικά παραγωγική, αφού φαίνεται να πέτυχε τον στόχο της καταφέρνοντας να παραβιάσει πλήθος υπολογιστών.
Επί του παρόντος, η κύρια δραστηριότητα του Glupteba φαίνεται να είναι η εξόρυξη κρυπτονομισμάτων. Όμως, ο τρόπος με τον οποίο δημιουργεί ένα backdoor σε παραβιασμένους υπολογιστές, σε συνδυασμό με τον τρόπο με τον οποίο αυτοί που βρίσκονται πίσω από αυτό προσπαθούν να δημιουργήσουν ένα μεγάλο botnet εύκολα διαθέσιμων μηχανημάτων, υποδηλώνει ότι ο απώτερος στόχος είναι να το “εκμισθώσει” ως μέσο διανομής άλλων μορφών malware.
Ο τρόπος με τον οποίο αυτοί που βρίσκονται πίσω από το Glupteba διορθώνουν τυχόν σφάλματα που προκύπτουν, παρέχει επίσης στοιχεία ότι θέλουν να διατηρήσουν μια ομαλή λειτουργία για όσο το δυνατόν γίνεται.
Η καμπάνια εξακολουθεί να είναι ενεργή και προσπαθεί να στρατολογήσει περισσότερα μηχανήματα στο botnet, αλλά ο απλούστερος τρόπος με τον οποίο οι χρήστες μπορούν να αποφύγουν να πέσουν θύματα του Glupteba είναι διασφαλίζοντας ότι έχει εγκατασταθεί η κρίσιμη ενημέρωση ασφαλείας που έχει εκδοθεί για προστασία από το EternalBlue.
Επίσης, οι χρήστες θα πρέπει να είναι προσεκτικοί κατά τη λήψη εφαρμογών – ειδικά των σπασμένων – από μη αξιόπιστες πηγές.
“Οι συνήθεις γενικές προφυλάξεις ισχύουν εδώ όπως και οπουδήποτε αλλού: Μην τρέχετε προγράμματα που δεν πρέπει, κρατήστε τα πάντα διορθωμένα και βεβαιωθείτε πάντα ότι έχετε κάποιο antivirus στον υπολογιστή σας”, δήλωσε ο Brandt.
