Η Google ανακοίνωσε σήμερα ότι έχει λάβει μέτρα για να διακόψει την λειτουργία του botnet Glupteba που ελέγχει πλέον περισσότερους από 1 εκατομμύριο υπολογιστές με Windows σε όλο τον κόσμο, αυξάνοντας κατά χιλιάδες τις νέες μολυσμένες συσκευές κάθε μέρα.
Το Glupteba είναι ένα malware με δυνατότητα blockchain και modular που στοχεύει συσκευές Windows παγκοσμίως από τουλάχιστον το 2011, συμπεριλαμβανομένων των ΗΠΑ, της Ινδίας, της Βραζιλίας και χωρών από τη Νοτιοανατολική Ασία.
Οι απειλητικοί παράγοντες πίσω από αυτό το malware strain διανέμουν κυρίως payloads στις στοχευμένες συσκευές μέσω δικτύων πληρωμής ανά εγκατάσταση (PPI) και το traffic που αγοράζεται από συστήματα διανομής κυκλοφορίας (TDS) καμουφλαρισμένο ως “δωρεάν λογισμικό, βίντεο ή ταινίες με δυνατότητα λήψης”.
Αφού μολύνει έναν host, μπορεί να εξορύξει cryptocurrency, να κλέψει user credentials και cookies και να αναπτύξει proxies σε συστήματα Windows και συσκευές IoT, τα οποία αργότερα πωλούνται ως «residential proxies» σε άλλους εγκληματίες του κυβερνοχώρου.
Ως μέρος της συντονισμένης προσπάθειας της Google να διαταράξει το botnet, η εταιρεία “ανέλαβε” την υποδομή command and control (C2) του Glupteba, που χρησιμοποιεί έναν μηχανισμό δημιουργίας αντιγράφων ασφαλείας blockchain Bitcoin για να προσθέσει ανθεκτικότητα εάν οι κύριοι C2 servers σταματήσουν να ανταποκρίνονται.
Νομική δράση για τη διακοπή του botnet
Η Google κατέθεσε προσωρινό περιοριστικό διάταγμα και καταγγελία στη Νότια Περιφέρεια της Νέας Υόρκης κατά δύο Ρώσων κατηγορουμένων (Dmitry Starovikov και Alexander Filippov) και 15 άλλων αγνώστων.
Η καταγγελία ισχυρίζεται ότι οι 17 κατηγορούμενοι ήταν εκείνοι που δρούσαν και συντόνιζαν επιθέσεις Glupteba με τελικό στόχο την κλοπή λογαριασμών χρηστών και πληροφοριών πιστωτικών καρτών, την πώληση ad placement και πρόσβασης proxy access σε μολυσμένες συσκευές και την εξόρυξη κρυπτονομισμάτων για απάτη και κατάχρηση υπολογιστών, παραβίαση εμπορικών σημάτων. και άλλα σχήματα.
Μεταξύ των διαδικτυακών υπηρεσιών που προσφέρονται από τους χειριστές του botnet του Glupteba, η Google ανέφερε «πώληση πρόσβασης σε εικονικές μηχανές φορτωμένες με κλεμμένα credentials (dont[.]farm), proxy access (awmproxy) και πώληση αριθμών πιστωτικών καρτών (extracard) που θα χρησιμοποιηθούν για άλλες κακόβουλες δραστηριότητες όπως η προβολή κακόβουλων διαφημίσεων και η απάτη πληρωμών στο Google Ads.”
Τη Δευτέρα, η Microsoft κατέσχεσε και δεκάδες κακόβουλους ιστότοπους που χρησιμοποιούνται από την ομάδα hacking Nickel (γνωστή και ως KE3CHANG, APT15, Vixen Panda, Royal APT και Playful Dragon) για να στοχεύουν servers που ανήκουν σε κυβερνητικούς οργανισμούς, διπλωματικές οντότητες και μη κυβερνητικές οργανώσεις (ΜΚΟ) στις ΗΠΑ και σε 28 άλλες χώρες παγκοσμίως.
Πηγή πληροφοριών: bleepingcomputer.com
