Le Glupteba Il a été découvert que le botnet intègre une interface de micrologiciel extensible unifiée, jusqu’alors non documentée (UEFI) fonctionnalité de bootkit, ajoutant une autre couche de sophistication et de furtivité au malware.
« Ce bootkit peut intervenir et contrôler le [operating system] processus de démarrage, permettant à Glupteba de se cacher et de créer une persistance furtive qui peut être extrêmement difficile à détecter et à supprimer », ont déclaré Lior Rochberger et Dan Yashnik, chercheurs de l’unité 42 de Palo Alto Networks. dit dans une analyse de lundi.
Glupteba est un voleur d’informations complet et une porte dérobée capable de faciliter l’extraction illicite de crypto-monnaie et de déployer des composants proxy sur des hôtes infectés. Il est également connu pour exploiter la blockchain Bitcoin comme système de commande et de contrôle (C2) de secours, ce qui la rend résiliente aux efforts de retrait.
Certaines des autres fonctions lui permettent de fournir des charges utiles supplémentaires, de siphonner les informations d’identification et les données de carte de crédit, de procéder à des fraudes publicitaires et même d’exploiter des routeurs pour obtenir des informations d’identification et un accès administratif à distance.
Au cours de la dernière décennie, les logiciels malveillants modulaires se sont métamorphosés en une menace sophistiquée utilisant des chaînes d’infection élaborées à plusieurs étapes pour contourner la détection par les solutions de sécurité.
Une campagne de novembre 2023 observée par la société de cybersécurité implique l’utilisation de services de paiement à l’installation (PPI) tels que Ruzki pour distribuer Glupteba. En septembre 2022, Sekoia a lié Ruzki à des clusters d’activités, en utilisant PrivateLoader comme canal pour propager les logiciels malveillants de niveau supérieur.
Cela prend la forme d’attaques de phishing à grande échelle dans lesquelles PrivateLoader est livré sous couvert de fichiers d’installation de logiciels piratés, qui charge ensuite SmokeLoader qui, à son tour, lance RedLine Stealer et Amadey, ce dernier abandonnant finalement Glupteba.
« Les acteurs malveillants distribuent souvent Glupteba dans le cadre d’une chaîne d’infection complexe propageant plusieurs familles de logiciels malveillants en même temps », ont expliqué les chercheurs. « Cette chaîne d’infection commence souvent par une infection PrivateLoader ou SmokeLoader qui charge d’autres familles de logiciels malveillants, puis charge Glupteba. »
Signe que le malware est activement maintenu, Glupteba est équipé d’un bootkit UEFI en incorporant une version modifiée d’un projet open source appelé EfiGuardqui est capable de désactiver PatchGuard et Driver Signature Enforcement (DSE) au moment du démarrage.
Il convient de souligner que les versions précédentes du malware étaient trouvé pour « installer un pilote de noyau que le bot utilise comme rootkit et apporter d’autres modifications qui affaiblissent la sécurité d’un hôte infecté ».
« Le malware Glupteba continue de se démarquer comme un exemple notable de la complexité et de l’adaptabilité dont font preuve les cybercriminels modernes », ont déclaré les chercheurs.
« L’identification d’une technique de contournement UEFI non documentée au sein de Glupteba souligne la capacité d’innovation et d’évasion de ce malware. De plus, avec son rôle dans la distribution de Glupteba, l’écosystème PPI met en évidence les stratégies de collaboration et de monétisation employées par les cybercriminels dans leurs tentatives d’infections massives.