Google TAG interrompe a operação do botnet do Glupteba
O Grupo de Análise de Ameaças do Google anunciou a interrupção bem-sucedida do notório botnet Glupteba esta semana. O botnet estava instalando malware de mineração de criptografia nos sistemas das vítimas e teria se espalhado para cerca de 1 milhão de hosts infectados, incluindo dispositivos da Internet das coisas e computadores baseados no Windows.
De acordo com o relatório TAG do Google, a interrupção causará problemas consideráveis e deixará os operadores de Glupteba incapazes de acessar a infraestrutura crítica de comando e controle, colocando efetivamente o botnet fora de seu alcance. No entanto, a equipe de pesquisa de segurança do Google também afirmou que espera-se que os operadores de Glupteba também tenham uma maneira de restaurar e recorrer à infraestrutura C2 secundária usando dados que são mantidos no blockchain Bitcoin.
O que é Glupteba?
Glupteba era conhecido por usar diversos vetores de ataque para infectar sistemas-alvo. Esses métodos de ataque variam desde o uso de documentos maliciosos até a ocultação em "fendas" de softwares e aplicativos pirateados. O malware Glupteba também foi capaz de minar discretamente a criptomoeda no sistema da vítima por meio de seu módulo dedicado, bem como exfiltrar credenciais de login e arquivos das unidades da vítima, tornando-o um formidável kit de ferramentas mal-intencionado.
A descoberta de uma única URL de repositório git no código de um binário Glupteba que estava sendo submetido a engenharia reversa e examinada colocou os pesquisadores na trilha que levou à eventual interrupção do botnet.
Remoção de botnet em uma varredura massiva
Depois de informada pela URL, a equipe de pesquisa conseguiu encerrar uma série de serviços online pertencentes aos operadores de Glupteba. Os serviços em questão foram usados para vender credenciais roubadas, bem como informações de cartão de crédito roubadas. Os métodos de pagamento sequestrados também foram usados para fins maliciosos, com malfeitores pagando ilegalmente por campanhas publicitárias maliciosas ou fazendo pagamentos fraudulentos no Google Ads. Durante a varredura para derrubar a infraestrutura C2 do botnet, a equipe do Google trabalhou junto com a CloudFlare para derrubar servidores e colocar mensagens de aviso que carregam antes que um sistema possa acessar um domínio malicioso. Além disso, quase 900 contas do Google Ads foram encerradas, bem como mais de 900 projetos na nuvem e mais de 1300 contas do Google.