Google abbatte la famigerata botnet Glupteba
Il TAG di Google, o Threat Analysis Group del gigante tecnologico, ha annunciato di aver interrotto l'attività della famigerata botnet Glupteba. Glupteba è una complessa rete di malware che impiega anche malware per il mining di criptovalute oltre alle sue altre funzionalità.
Secondo le stime, al momento della rimozione, la botnet Glupteba comprendeva circa un milione di dispositivi compromessi, inclusi computer con Windows e dispositivi Internet of things.
Glupteba ha utilizzato una moltitudine di vettori e approcci per diffondere e infettare nuovi dispositivi. Questi andavano da falsi software piratati contenenti codice dannoso a documenti dannosi, fino a falsi collegamenti video di YouTube. Una volta distribuito, il malware Glupteba offre una serie di funzionalità a qualunque parte cattiva lo stia operando, inclusa l'esfiltrazione di credenziali e file di accesso, nonché funzionalità di mining di criptovalute. Il malware può anche impostare proxy per consentire il reindirizzamento del traffico esterno, facendolo passare attraverso sistemi e dispositivi infetti, propagando così ulteriormente il malware.
Il team di ricerca è riuscito a rimuovere l'infrastruttura essenziale di Glupteba dopo che gli esperti che hanno analizzato i file binari di Glupteba hanno individuato un URL del repository git. Questa scoperta li ha condotti lungo un percorso che alla fine ha permesso loro di identificare una serie di diversi servizi online gestiti dagli operatori della botnet. Questi includevano servizi volti alla rivendita di credenziali rubate e alla vendita di carte di credito rubate da utilizzare in seguito per ulteriori scopi dannosi, ad esempio per servire pubblicità dannosa.
Secondo il TAG di Google, i team di sicurezza alla fine sono stati in grado di interrompere l'infrastruttura di comando e controllo della botnet al punto in cui gli operatori non dovrebbero essere in grado di eseguire o controllare la botnet, almeno "per ora".
Per avere un'idea della portata dell'operazione e dello spazzamento che ha comportato, i ricercatori hanno specificato che la rimozione includeva oltre 1300 account Google, oltre 800 account Google Ads e più rimozioni di server, eseguite insieme a CloudFlare e altri fornitori.
Nonostante questa vittoria, i ricercatori di Google hanno avvertito che i malintenzionati che gestiscono la botnet potrebbero tentare un rapido ritorno, utilizzando i dati archiviati nella blockchain.