El Gl\u00fapteba<\/strong> Se ha descubierto que la botnet incorpora una interfaz de firmware extensible unificada no documentada previamente (UEFI<\/a>) funci\u00f3n de kit de arranque, a\u00f1adiendo otra capa de sofisticaci\u00f3n y sigilo al malware.<\/p>\n “Este bootkit puede intervenir y controlar el [operating system] proceso de arranque, lo que permite a Glupteba ocultarse y crear una persistencia sigilosa que puede ser extremadamente dif\u00edcil de detectar y eliminar”, dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Lior Rochberger y Dan Yashnik. dicho<\/a> en un an\u00e1lisis del lunes.<\/p>\n Glupteba es un ladr\u00f3n de informaci\u00f3n y una puerta trasera con todas las funciones, capaz de facilitar la miner\u00eda il\u00edcita de criptomonedas y desplegar componentes proxy en hosts infectados. Tambi\u00e9n se sabe que aprovecha la cadena de bloques de Bitcoin como sistema de comando y control (C2) de respaldo, lo que la hace resistente a los esfuerzos de eliminaci\u00f3n.<\/p>\n Algunas de las otras funciones le permiten entregar cargas \u00fatiles adicionales, desviar credenciales y datos de tarjetas de cr\u00e9dito, realizar fraude publicitario e incluso explotar enrutadores para obtener credenciales y acceso administrativo remoto.<\/p>\n Durante la \u00faltima d\u00e9cada, el malware modular se ha metamorfoseado en una amenaza sofisticada que emplea elaboradas cadenas de infecci\u00f3n de varias etapas para eludir la detecci\u00f3n por parte de las soluciones de seguridad.<\/p>\n Una campa\u00f1a de noviembre de 2023 observada por la empresa de ciberseguridad implica el uso de servicios de pago por instalaci\u00f3n (PPI) como Ruzki para distribuir Glupteba. En septiembre de 2022, Sekoia vincul\u00f3 a Ruzki con grupos de actividad, aprovechando PrivateLoader como conducto para propagar malware de la siguiente etapa.<\/p>\n Esto toma la forma de ataques de phishing a gran escala en los que PrivateLoader se entrega bajo la apariencia de archivos de instalaci\u00f3n de software descifrado, que luego carga SmokeLoader que, a su vez, lanza RedLine Stealer y Amadey, y este \u00faltimo finalmente elimina Glupteba.<\/p>\n “Los actores de amenazas a menudo distribuyen Glupteba como parte de una compleja cadena de infecci\u00f3n que propaga varias familias de malware al mismo tiempo”, explicaron los investigadores. “Esta cadena de infecci\u00f3n a menudo comienza con una infecci\u00f3n PrivateLoader o SmokeLoader que carga otras familias de malware y luego carga Glupteba”.<\/p>\n En una se\u00f1al de que el malware se mantiene activamente, Glupteba viene equipado con un kit de arranque UEFI al incorporar una versi\u00f3n modificada de un proyecto de c\u00f3digo abierto llamado EfiGuard<\/a>que es capaz de desactivar PatchGuard y Driver Signature Enforcement (DSE) en el momento del arranque.<\/p>\n Vale la pena se\u00f1alar que las versiones anteriores del malware fueron encontr\u00f3<\/a> para “instalar un controlador de kernel que el bot utiliza como rootkit y realizar otros cambios que debiliten la postura de seguridad de un host infectado”.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/La-botnet-Glupteba-evade-la-deteccion-con-un-kit-de.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n