Google aveva smantellato Glupteba circa un anno fa (e denunciato due gestori russi), ma come previsto la botnet è ritornata operativa, in quanto basata su blockchain e pertanto impossibile da bloccare. Gli esperti di Nozomi Networks hanno rilevato una nuova campagna avviata lo scorso mese di giugno e ancora attiva. Gli utenti possono però installare una soluzione di sicurezza per rilevare l’eventuale accesso al computer.
Glupteba: botnet praticamente indistruttibile
Glupteba viene principalmente distribuito tramite installer e software pirata pubblicati su vari siti Torrent. Il malware è composto da vari moduli che permettono di infettare i dispositivi Windows per il mining delle criptovalute e il furto di dati, come cookie dei browser e password. Il computer diventa quindi un bot che viene controllato dai cybercriminali. La botnet è attiva da oltre tre anni e nemmeno Google ha interrotto la sua operatività.
L’azienda di Mountain View ha infatti smantellato temporaneamente Glupteba durante la terza campagna avviata a novembre 2021. La quarta campagna avviata a giugno 2022 è ancora in corso. Non solo è aumentato il numero di wallet usati per le transazioni, ma anche il numero dei servizi nascosti di Tor usati come server C2 (command and control).
La resilienza di Glupteba è dovuta alla sua infrastruttura decentralizzata, basata sulla blockchain di Bitcoin. Non esiste quindi un server centrale che controlla i computer infettati (bot). Se viene interrotto il collegamento, un sistema automatizzato recupera i dati (tra cui l’indirizzo) dei server C2 da contattare per ricevere i comandi. Glupteba è praticamente indistruttibile. È possibile solo conoscere gli indirizzi dei wallet e le rispettive transazioni.
Ti potrebbe interessare
19 dic 2022