Google TAG interrumpe el funcionamiento de la botnet de Glupteba
El Grupo de Análisis de Amenazas de Google anunció esta semana la exitosa interrupción de la notoria botnet Glupteba. La botnet estaba instalando infamemente malware de minería criptográfica en los sistemas de las víctimas y, según los informes, se había extendido a alrededor de 1 millón de hosts infectados, incluidos dispositivos de Internet de las cosas y computadoras con Windows.
Según el informe TAG de Google, la interrupción causará problemas considerables y dejará a los operadores de Glupteba incapaces de acceder a la infraestructura crítica de comando y control, lo que pondrá la botnet fuera de su alcance. Sin embargo, el equipo de investigación de seguridad de Google también declaró que se espera que los operadores de Glupteba también tengan una forma de restaurar y recurrir a la infraestructura C2 secundaria mediante el uso de datos que se guardan en la cadena de bloques de Bitcoin.
¿Qué es Glupteba?
Se sabía que Glupteba usaba diversos vectores de ataque para infectar los sistemas objetivo. Esos métodos de ataque van desde el uso de documentos maliciosos hasta la ocultación en "grietas" de software y aplicaciones pirateados. El malware Glupteba también pudo minar silenciosamente criptomonedas en el sistema de la víctima a través de su módulo dedicado, así como exfiltrar las credenciales de inicio de sesión y los archivos de las unidades de la víctima, lo que lo convierte en un formidable juego de herramientas maliciosas.
El descubrimiento de una única URL de repositorio de git en el código de un binario de Glupteba que estaba siendo sometido a ingeniería inversa y examinado puso a los investigadores en el camino que condujo a la eventual interrupción de la botnet.
Eliminación de botnets en un barrido masivo
Una vez informado por la URL, el equipo de investigación logró finalmente cerrar una variedad de servicios en línea pertenecientes a los operadores de Glupteba. Los servicios en cuestión se utilizaron para vender credenciales robadas, así como información de tarjetas de crédito robadas. Los métodos de pago secuestrados también se utilizaron con fines maliciosos, y los malos actores pagaron ilegalmente por campañas publicitarias maliciosas o realizaron pagos fraudulentos en Google Ads. Durante el barrido para eliminar la infraestructura C2 de la botnet, el equipo de Google trabajó junto con CloudFlare para eliminar servidores y colocar mensajes de advertencia que se cargan antes de que un sistema pueda acceder a un dominio malicioso. Además, se cerraron casi 900 cuentas de Google Ads, así como más de 900 proyectos en la nube y más de 1300 cuentas de Google.