El Glúpteba Se ha descubierto que la botnet incorpora una interfaz de firmware extensible unificada no documentada previamente (UEFI) función de kit de arranque, añadiendo otra capa de sofisticación y sigilo al malware.
«Este bootkit puede intervenir y controlar el [operating system] proceso de arranque, lo que permite a Glupteba ocultarse y crear una persistencia sigilosa que puede ser extremadamente difícil de detectar y eliminar», dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Lior Rochberger y Dan Yashnik. dicho en un análisis del lunes.
Glupteba es un ladrón de información y una puerta trasera con todas las funciones, capaz de facilitar la minería ilícita de criptomonedas y desplegar componentes proxy en hosts infectados. También se sabe que aprovecha la cadena de bloques de Bitcoin como sistema de comando y control (C2) de respaldo, lo que la hace resistente a los esfuerzos de eliminación.
Algunas de las otras funciones le permiten entregar cargas útiles adicionales, desviar credenciales y datos de tarjetas de crédito, realizar fraude publicitario e incluso explotar enrutadores para obtener credenciales y acceso administrativo remoto.
Durante la última década, el malware modular se ha metamorfoseado en una amenaza sofisticada que emplea elaboradas cadenas de infección de varias etapas para eludir la detección por parte de las soluciones de seguridad.
Una campaña de noviembre de 2023 observada por la empresa de ciberseguridad implica el uso de servicios de pago por instalación (PPI) como Ruzki para distribuir Glupteba. En septiembre de 2022, Sekoia vinculó a Ruzki con grupos de actividad, aprovechando PrivateLoader como conducto para propagar malware de la siguiente etapa.
Esto toma la forma de ataques de phishing a gran escala en los que PrivateLoader se entrega bajo la apariencia de archivos de instalación de software descifrado, que luego carga SmokeLoader que, a su vez, lanza RedLine Stealer y Amadey, y este último finalmente elimina Glupteba.
«Los actores de amenazas a menudo distribuyen Glupteba como parte de una compleja cadena de infección que propaga varias familias de malware al mismo tiempo», explicaron los investigadores. «Esta cadena de infección a menudo comienza con una infección PrivateLoader o SmokeLoader que carga otras familias de malware y luego carga Glupteba».
En una señal de que el malware se mantiene activamente, Glupteba viene equipado con un kit de arranque UEFI al incorporar una versión modificada de un proyecto de código abierto llamado EfiGuardque es capaz de desactivar PatchGuard y Driver Signature Enforcement (DSE) en el momento del arranque.
Vale la pena señalar que las versiones anteriores del malware fueron encontró para «instalar un controlador de kernel que el bot utiliza como rootkit y realizar otros cambios que debiliten la postura de seguridad de un host infectado».
«El malware Glupteba sigue destacándose como un ejemplo notable de la complejidad y adaptabilidad que exhiben los ciberdelincuentes modernos», dijeron los investigadores.
«La identificación de una técnica de derivación UEFI no documentada dentro de Glupteba subraya la capacidad de innovación y evasión de este malware. Además, con su papel en la distribución de Glupteba, el ecosistema PPI destaca las estrategias de colaboración y monetización empleadas por los ciberdelincuentes en sus intentos de infecciones masivas».