บ็อตเน็ต Glupteba ที่เป็นอันตรายซึ่ง Google จัดการให้ออฟไลน์เมื่อหนึ่งปีที่แล้วกลับมาแล้วและดูเหมือนว่าจะยืดหยุ่นมากกว่าเดิม
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ Nozomi ได้พบบันทึกของใบรับรอง TLS ธุรกรรมบล็อกเชน รวมถึงตัวอย่าง Glupteba ที่ออกแบบวิศวกรรมย้อนกลับ ซึ่งพวกเขาเชื่อว่าชี้ไปที่แคมเปญขนาดใหญ่ใหม่ที่ดูเหมือนจะเริ่มต้นเมื่อฤดูใบไม้ผลิที่แล้วและยังมีชีวิตอยู่
Glupteba se describe como malware modular habilitado para blockchain, cuyo propósito es extraer criptomonedas en puntos finales infectados, así como robar credenciales de usuario y cookies. Además, es capaz de implementar proxies, que los actores de amenazas luego venden como "proxies domésticos" a cualquiera que esté dispuesto a pagar.
การขุด crypto
มัลแวร์มักจะปลอมตัวเป็นฟรีแวร์และรับรายชื่อเซิร์ฟเวอร์ C2 ที่อัปเดตผ่าน Bitcoin blockchain เนื่องจากการตั้งค่าเซิร์ฟเวอร์ C2 นั้นไม่แพงหรือใช้เวลานาน และบล็อกเชน Bitcoin นั้นเปลี่ยนแปลงไม่ได้ การกำจัดบอทเน็ตจึงค่อนข้างท้าทาย
อย่างไรก็ตาม การทำธุรกรรมบน Bitcoin blockchain เป็นแบบสาธารณะและใช้นามแฝง ซึ่งหมายความว่าทุกคนสามารถติดตามและวิเคราะห์ข้อมูลเหล่านั้นได้ ซึ่งท้ายที่สุดแล้วสรุปได้ว่าใครอยู่เบื้องหลังที่อยู่หรือธุรกรรมแต่ละรายการ
จนถึงตอนนี้ผู้ให้บริการ Glupteba ใช้ที่อยู่ Bitcoin 15 แห่ง โดยเปิดใช้งานล่าสุดในเดือนมิถุนายน 2022 ซึ่งหมายความว่าเวอร์ชันที่เกิดใหม่มีที่อยู่มากกว่าที่อยู่เก่า ทำให้มันยืดหยุ่นขึ้นเล็กน้อย มีการกล่าวด้วยว่าแคมเปญยังคงดำเนินต่อไป นอกจากนี้ยังมีบริการ TOR ที่ซ่อนอยู่จำนวนมากถึงสิบเท่าที่ใช้เป็นเซิร์ฟเวอร์ C2 ที่อยู่ที่ใช้งานมากที่สุดบันทึกธุรกรรม 11 รายการและถึง 1.197 ตัวอย่างมัลแวร์
Google ลบบ็อตเน็ต Glupteba ที่เป็นอันตรายก่อนหน้านี้ในเดือนธันวาคม 2021 บริษัทได้รับคำสั่งศาลให้ยึดโครงสร้างพื้นฐานบ็อตเน็ตสำเร็จ เขายังได้ยื่นคำร้องต่อผู้ให้บริการรัสเซีย XNUMX ราย BleepingComputer เรียกคืน
มาดูกันว่ากลูเตบาครั้งนี้อยู่ได้นานแค่ไหน
- นี่คือบทสรุปของไฟร์วอลล์ที่ดีที่สุดของเรา (เปิดในแท็บใหม่) ในตอนนี้
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)