Вредоносная программа Glupteba использует блокчейн биткоина

Вредоносная программа Glupteba использует блокчейн биткоина

Исследователи в области кибербезопасности обнаружили новый штамм вредоносного ПО – Glupteba, использующего цепочку блоков Bitcoin, утверждая, что он очень опасен. В последнем блоге TrendMicro подробно описан вариант ПО, который способен проникать в системы для майнинга криптовалюты Monero и кражи конфиденциальных данных браузера, таких как пароли и cookie. 

В частности, аналитики подтвердили, что эта версия Glupteba также использует ранее обнаруженную уязвимость в маршрутизаторах MicroTik для инициирования распространенных спам-атак, которые могут угрожать пользователям Instagram.

Инфекция обычно работает так: целевая машина сначала подвергается «атаке вредоносной рекламы», которая вынуждает ее загружать «дроппер» Glupteba. 

Примечательно, что эта вредоносная программа использует блокчейн биткоина для автоматического обновления, обеспечивая бесперебойную работу, даже если антивирусное программное обеспечение блокирует соединение с удаленными серверами управления и контроля (C & C). Злоумышленники перемещают биткоины, зараженные вредоносными данными, через кошелек Electrum. 

Вредоносная программа, запрограммированная с помощью надежно закодированной строки ScriptHash  пробирается через общедоступный список серверов Electrum, чтобы найти каждую транзакцию, совершенную злоумышленником. 

В этих транзакциях скрыты, казалось бы, невинные данные OP_RETURN, которые содержат зашифрованный домен C & C. Строка ScriptHash затем используется для расшифровки этих данных. 

«Этот метод упрощает для мошенников замену серверов C & C». Если по какой-либо причине они теряют контроль над сервером C & C, им попросту нужно добавить новый биткоин-скрипт, и зараженные машины получат новый сервер C & C, расшифровав данные сценария и повторно подключившись», – отметили в TrendMicro.

Оставьте свой комментарий