มัลแวร์ Glupteba กลับมาระบาดอีกครั้งหลังจากโดนทาง Google แก้เกมไป


1 January 2566
29
มัลแวร์ Glupteba กลับมาระบาดอีกครั้งหลังจากโดนทาง Google แก้เกมไป

มัลแวร์ Glupteba botnet กลับมาระบาดอีกครั้ง ทำให้หลายอุปกรณ์ทั่วโลกติดมัลแวร์ หลัวจากที่การระบาดถูกสกัดโดย Google เมื่อปีที่แล้ว ในเดือนธันวาคม 2021 Google หาทางที่จะสกัดกั้นการระบาดของ botnet ที่เป็น blockchain-enabled และรับคำสั่งศาลให้ทำการเข้าควบคุม infrastructure ของ botnet และให้ทำการฟ้องร้องไปยังโอเปอร์เรเตอร์ของรัสเซีย 2 ราย ทาง Nozomi ได้รายงานว่าจากการถอด ธุรกรรมของ Blockchain, การลงทะเบียน TLS certificate และการ reverse engineering ของตัวอย่าง Glupteba แสดงให้เห็นว่ามัลแวร์ตัวใหม่ได้แพร่ระบาดตั้งแต่เดือนมิถุนายน 2022 และกำลังเพิ่มมากขึ้นเรื่อยๆ Glupteba เป็นมัลแวร์ Blockchain-enabled ที่เป็นแบบ modular สามารถแพร่เข้าสู่อุปกรณ์ที่เป็นระบบ Windows เพื่อทำการขุดเหรียญ, ขโมยข้อมูลส่วนตัวและ cookie, และสามารถติดตั้ง proxy บนระบบ Windows และ อุปกรณ์ IoT

ซึ่ง proxy เหล่านี้ในท้ายที่สุดจะถูกขายเป็น “residential proxies” ให้กับอาชญากรทางไซเบอร์กลุ่มอื่นๆ มัลแวร์ถูกแพร่กระจายผ่าน malvertising บน pay-per-install (PPI) เน็ตเวิร์ค และผ่าน traffic distribution systems (TDS) โดยการใส่ตัวติดตั้งที่ปลอมเป็นซอฟต์แวร์ฟรี, วีดีโอ, และหนัง มัลแวร์ Glupteba ทำงานอยู่บน Blockchain ของ Bitcoin เพื่อหลบเลี่ยงการถูกสกัดกั้นโดยการรับการอัพเดทจาก C2 เซิร์ฟเวอร์เพื่อทำการ execute ส่วน client ของ botnet จะรับที่อยู่ของ C2 เซิร์ฟเวอร์โดยการใช้ฟังก์ชั่น discover ที่จะทำการแจกแจงเซิร์ฟเวอร์ของกระเป๋า Bitcoin วิธีการนี้จะทำให้ไม่สามารถ takedown ตัวมัลแวร์ได้ เนื่องจากธุรกรรมบน blockchain ไม่สามารถลบได้ ทำให้การปิด C2 เซิร์ฟเวอร์นั้นมีผลเพียงเล็กน้อยต่อ Botnet ข้อเสียเพียงอย่างเดียวคือ blockchain ของ Bitcoin นั้นเป็นแบบสาธารณะทุกคนสามารถเข้าถึง และกลั่นกรองการทำธุรกรรมเพื่อรวบรวมข้อมูลได้ Nozomi รายงานว่า Glupteba ยังจะคงใช้ Blockchain แบบเดิมอยู่ ปัจจุบันทางนักวิจัยได้ทำการสแกน Blockchain ทั้งหมดของ Bitcoin เพื่อทำการเฟ้นหาโดเมน C2 ที่ยังหลบซ่อนอยู่ ซึ่งถือเป็นความพยายามที่หนักหนาเอาการ ทั้งหมดยังรวมถึงการแยกตรวจสอบตัวอย่างของ Glupteba อีกว่า 1,500 ตัวอย่าง ที่ถูกอัพโหลดไปยัง VirusTotal เพื่อแยกที่อยู่ของกระเป๋า และพยายามถอดรหัสข้อมูลเพย์โหลดของธุรกรรมโดยใช้คีย์ที่เกี่ยวข้องกับมัลแวร์ ในท้ายที่สุดทาง Nozomi ได้ใช้ passive DNS เพื่อค้นหาโดเมน และโฮสต์ของ Glupteba รวมถึงตรวจสอบใบรับรอง TLS ชุดล่าสุดที่ถูกใช้โดยมัลแวร์ เพื่อหาข้อมูลเพื่มเติมเกี่ยวกับโครงสร้างพื้นฐานของมัลแวร์