Le botnet malveillant Glupteba, que Google a réussi à mettre hors ligne il y a exactement un an, est de retour et semble plus résistant qu’auparavant.
Les experts en cybersécurité de Nozomi ont trouvé des enregistrements de certificats TLS, des transactions blockchain, ainsi que des échantillons de Glupteba rétro-conçus, qui, selon eux, pointent tous vers une nouvelle campagne à grande échelle qui semble avoir commencé au printemps dernier et qui est toujours en vie.
Glupteba est décrit comme un logiciel malveillant modulaire compatible avec la blockchain, dont le but est d’exploiter la crypto-monnaie sur les terminaux infectés, ainsi que de voler les informations d’identification et les cookies des utilisateurs. De plus, il est capable de déployer des proxys, que les acteurs de la menace vendent plus tard comme des « proxys résidentiels » à quiconque est prêt à payer.
Exploitation de crypto
Le malware se déguise généralement en logiciel gratuit et obtient une liste mise à jour des serveurs C2 via la blockchain Bitcoin. Comme la mise en place d’un serveur C2 n’est ni coûteuse ni fastidieuse, et que la blockchain Bitcoin est immuable, supprimer le botnet est tout un défi.
Pourtant, les transactions sur la blockchain Bitcoin sont publiques et pseudonymes, ce qui signifie que n’importe qui peut les suivre et les analyser, et éventuellement conclure qui se cache derrière chaque adresse ou transaction.
Jusqu’à présent, les opérateurs de Glupteba utilisent 15 adresses Bitcoin, la plus récente ayant été activée en juin 2022. Cela signifie que la version reborn a plus d’adresses que la précédente, ce qui la rend un peu plus résistante. Il a également été dit que la campagne est toujours en cours. De plus, il y a dix fois plus de services cachés TOR utilisés comme serveurs C2. L’adresse la plus active a enregistré 11 transactions et atteint 1 197 échantillons de logiciels malveillants.
Le précédent botnet malveillant de Glupteba a été supprimé par Google en décembre 2021. L’entreprise a réussi à obtenir une ordonnance du tribunal pour saisir l’infrastructure du botnet. Elle a également porté plainte contre deux opérateurs russes, BipOrdinateur rappelle.
Voyons combien de temps dure Glupteba cette fois-ci.
- Voici notre aperçu des meilleurs pare-feu (s’ouvre dans un nouvel onglet) en ce moment
Via : BleepingComputer (s’ouvre dans un nouvel onglet)