Glupteba - это загрузчик с функциями кражи информации и маршрутизации трафика. Он предназначен в первую очередь для установки других вирусов на зараженные ПК, но может делать гораздо больше. Кроме того, он постоянно обновляется, поэтому с этим вирусом стоит быть начеку.
Что такое вредоносная программа Glupteba?
Glupteba представляет собой дроппер - он обычно используется для установки других образцов вредоносного ПО на зараженные машины. Хотя первоначально считалось, что Glupteba была разработана как часть вредоносной кампании под кодовым названием Operation Windigo, сейчас исследователи считают, что это независимая вредоносная программа.
Хотя троян Glupteba классифицируется как дроппер, он обладает некоторыми дополнительными опасными функциями. Например, он способен похищать информацию из зараженных систем. Кроме того, он может загружать компонент, способный управлять маршрутизаторами и ретранслировать трафик.
Более того, похоже, что эта вредоносная программа находится в стадии активной разработки, и создатели используют опасные и редко используемые методы, чтобы сохранить свое творение активным, несмотря на различные программы удаления вредоносного ПО. Причина, вероятно, кроется в их предполагаемом переходе на схему распространения с оплатой за установку, что означает, что они должны поддерживать актуальность вредоносной программы, чтобы получать от нее прибыль.
Общее описание дроппера Glupteba
Вредоносная программа Glupteba была впервые замечена в дикой природе в 2011 году, когда она распространялась с помощью буткита TDL-4 среди ряда других видов вредоносного ПО. Вирус долгое время оставался незамеченным благодаря инструментам удаления вредоносных программ, пока не всплыл снова три года спустя. На этот раз Glupteba был замечен в Operation Windigo.
Кроме того, исследователи обнаружили, что командные и управляющие домены дроппера Glupteba размещались на тех же машинах, на которых работали части инфраструктуры Operation Windigo. Однако точная связь между Glupteba и Windigo остается неясной.
До недавнего времени о трояне Glupteba почти ничего не было слышно, пока он снова не всплыл на поверхность с новыми опасными функциями.
Сегодня, помимо основной функции дроппера, вредоносная программа Glupteba поставляется с двумя компонентами: компонентом для кражи браузеров и эксплойтером маршрутизатора.
Браузерный угонщик поставляется в двух версиях, нацеленных на Chrome, Opera и Яндекс-браузер. Вредоносная программа способна похищать файлы cookie и историю браузера, а также личные учетные данные для входа в систему.
Далее идет компонент router exploiter. Он использует уязвимость CVE-2018-14847 для получения контроля над маршрутизаторами. Это позволяет злоумышленникам превращать зараженные маршрутизаторы в SOCKS-прокси, которые перенаправляют трафик со взломанных машин. Таким образом, зараженные маршрутизаторы могут стать ретрансляционными точками для распространения спама и не только.
Например, есть версия, что часть ретранслируемого трафика является частью атаки на Instagram, хотя точно сказать невозможно из-за шифрования HTTP.
Процесс выполнения трояна Glupteba
После того как Glupteba проникает в систему, он запускает процесс CMD.exe для запуска CompMgmtLauncher.exe ("Computer Management Snapin Launcher"). Вредоносная программа использует CompMgmtLauncher.exe для обхода UAC и запуска себя с административными привилегиями. После этого он обычно добавляет себя в автозапуск в реестре, переименовывает исполняемый файл и копирует его в подкаталоги Windows. Glupteba также проверяет систему на наличие антивирусных решений, добавляет правила брандмауэра и исключения защитника. В дополнение к вышеперечисленному, эта вредоносная программа также добавляет себя в Schedule Tasks для сохранения в зараженной системе. На протяжении своего жизненного цикла Glupteba обменивается пакетами с C2-сервером и имеет возможность загружать другие вредоносные программы.
C&C-коммуникация Glupteba
У Glupteba есть довольно уникальный трюк в рукаве, в котором задействован не кто иной, как блокчейн Bitcoin. Она может использовать транзакции в сети Bitcoin для получения C&C-доменов. Эта функция запускается по расписанию или по требованию, если есть необходимость.
Она позволяет злоумышленникам передавать новые C&C-домены вредоносному ПО, что позволяет ему восстановить работу, переподключившись к новому домену, если что-то случилось со старым.
Распространение вредоносной программы Glupteba
Следует отметить, что Glupteba имеет очень широкий ареал распространения. С 2017 года она была замечена в 180 странах, хотя почти треть атак была сосредоточена в Украине, России и Турции.
В прошлом вредоносная программа распространялась с помощью инфраструктуры, предоставляемой Windigo's, однако в настоящее время она использует собственный ботнет и применяет рекламное ПО CsdiMonetize. Последнее загружает другой дроппер, который, в свою очередь, устанавливает сам троян.
Заключение
Glupteba оказывается довольно опасной вредоносной программой, к которой исследователи и специалисты по кибербезопасности не должны относиться легкомысленно. Помимо способности устанавливать на зараженные компьютеры другие образцы вредоносного ПО, она способна похищать информацию из приложений веб-браузеров. Она также может загружать компонент, который перенаправляет трафик, беря под контроль веб-маршрутизаторы.
Эта вредоносная программа использует уникальные техники, когда речь идет о связи с C&C. И если этого недостаточно, есть основания полагать, что она находится в активной разработке, и злоумышленники, похоже, добавляют все новые потенциально разрушительные функции.