Google TAG interrompe il funzionamento della botnet Glupteba
Il gruppo di analisi delle minacce di Google ha annunciato questa settimana l'interruzione riuscita della famigerata botnet Glupteba. La botnet installava famigerata malware per il mining di criptovalute sui sistemi delle vittime e, secondo quanto riferito, si era diffusa a circa 1 milione di host infetti, inclusi sia i dispositivi Internet of Things che i computer basati su Windows.
Secondo il rapporto TAG di Google, l'interruzione causerà problemi considerevoli e impedirà agli operatori di Glupteba di accedere all'infrastruttura critica di comando e controllo, mettendo di fatto la botnet fuori dalla loro portata. Tuttavia, il team di ricerca sulla sicurezza di Google ha anche affermato che si prevede che gli operatori di Glupteba abbiano anche un modo per ripristinare e ricorrere all'infrastruttura C2 secondaria utilizzando i dati conservati nella blockchain di Bitcoin.
Cos'è Glupteba?
Glupteba era noto per utilizzare vari vettori di attacco per infettare i sistemi di destinazione. Questi metodi di attacco andavano dall'utilizzo di documenti dannosi al nascondersi in "crack" per software e applicazioni piratati. Il malware Glupteba è stato anche in grado di estrarre silenziosamente la criptovaluta sul sistema della vittima attraverso il suo modulo dedicato, oltre a estrarre credenziali di accesso e file dalle unità della vittima, rendendolo un formidabile toolkit dannoso.
La scoperta di un singolo URL del repository git nel codice di un binario Glupteba che era stato sottoposto a reverse engineering ed esaminato ha messo i ricercatori sulle tracce che hanno portato all'eventuale interruzione della botnet.
Eliminazione delle botnet in un enorme spazzata
Una volta informato dall'URL, il team di ricerca è riuscito a chiudere una serie di servizi online appartenenti agli operatori di Glupteba. I servizi in questione sono stati utilizzati per vendere credenziali rubate e informazioni su carte di credito rubate. I metodi di pagamento dirottati sono stati utilizzati anche per scopi dannosi, con malintenzionati che pagavano illegalmente campagne pubblicitarie dannose o effettuavano pagamenti fraudolenti su Google Ads. Durante l'operazione di smantellamento dell'infrastruttura C2 della botnet, il team di Google ha collaborato con CloudFlare per disattivare i server e inserire messaggi di avviso che si caricano prima che un sistema possa accedere a un dominio dannoso. Inoltre, sono stati chiusi quasi 900 account Google Ads, oltre 900 progetti cloud e oltre 1300 account Google.
