Google’ın tam olarak bir yıl önce çevrimdışı duruma getirmeyi başardığı Glupteba kötü amaçlı yazılım botnet’i geri döndü ve eskisinden daha dirençli görünüyor.
Nozomi’deki siber güvenlik uzmanları, TLS sertifika kayıtları, blockchain işlemleri ve hepsinin geçen baharda başlamış gibi görünen ve hala canlı ve etkili olan yeni, büyük ölçekli bir kampanyaya işaret ettiğini söyledikleri tersine mühendislik uygulanmış Glupteba örnekleri buldu.
Glupteba, amacı virüslü uç noktalarda kripto para madenciliği yapmanın yanı sıra kullanıcı kimlik bilgilerini ve tanımlama bilgilerini çalmak olan, blockchain özellikli, modüler bir kötü amaçlı yazılım olarak tanımlanıyor. Ayrıca, tehdit aktörlerinin daha sonra ödeme yapmak isteyenlere “konut proxy’leri” olarak sattığı proxy’leri konuşlandırma yeteneğine sahiptir.
Kripto madenciliği
Kötü amaçlı yazılım genellikle kendisini özgür yazılım olarak gizler ve Bitcoin blok zinciri aracılığıyla güncellenmiş bir C2 sunucuları listesi alır. Bir C2 sunucusu kurmak pahalı veya külfetli olmadığından ve Bitcoin blok zinciri bu haliyle değişmez olduğundan, botnet’i çökertmek oldukça zordur.
Yine de, Bitcoin blok zincirindeki işlemler herkese açıktır ve takma adla yapılır, yani herkes onları izleyip analiz edebilir ve muhtemelen her bir adresin veya işlemin arkasında kimin olduğu sonucuna varabilir.
Şimdiye kadar, Glupteba’nın operatörleri 15 Bitcoin adresi kullanıyor ve en sonuncusu Haziran 2022’de etkinleştirildi. Kampanyanın devam ettiği de söylendi. Ayrıca, C2 sunucuları olarak kullanılan on kat daha fazla TOR gizli servisi vardır. En aktif adres 11 işlem yaptı ve 1.197 kötü amaçlı yazılım örneğine ulaştı.
Glupteba’nın önceki kötü amaçlı botnet’i, Aralık 2021’de Google tarafından kaldırıldı. Şirket, botnet’in altyapısına el koymak için bir mahkeme emri almayı başardı. Ayrıca iki Rus operatör hakkında şikayette bulundu. BleepingBilgisayar hatırlatır.
Bakalım bu sefer Glupteba ne kadar dayanacak.
- İşte en iyi güvenlik duvarları listemiz (yeni sekmede açılır) şu anda
Yolu ile: BleepingBilgisayar (yeni sekmede açılır)