Glupteba è un trojan backdoor che viene scaricato tramite reti Pay-Per-Install in programmi di installazione infetti o crack di software. Una volta che è attivo su un sistema, gli operatori della botnet possono distribuire moduli aggiuntivi per sfruttare i kit di compromissione dei dispositivi sulla rete di destinazione

Attacchi attraverso la blockchain

Sempre più spesso, i cybercriminali sfruttano la tecnologia blockchain per lanciare e diffondere i propri attacchi, facendo leva sulla natura distribuita e decentralizzata propria della blockchain che consente di sfruttare l’anonimato per agire indisturbati per diversi tipi di attacchi, dalla propagazione di malware alla distribuzione di ransomware. Il trojan Glupteba è un esempio di minaccia che sfrutta le tecnologie basate su blockchain per portare avanti le proprie attività dannose. I laboratori di ricerca di Nozomi Networks hanno analizzato il trojan Glupteba evidenziando attività dannose che fanno leva proprio sulla blockchain e che ora rendono pubbliche a tutela dei team di security.

Cos’è Glupteba

Glupteba è un trojan backdoor che viene scaricato tramite reti Pay-Per-Install – campagne pubblicitarie online che richiedono il download di software o applicazioni – in programmi di installazione infetti o crack di software. Una volta che Glupteba è attivo su un sistema, gli operatori della botnet possono distribuire moduli aggiuntivi per sfruttare i kit di compromissione dei dispositivi sulla rete di destinazione. Esistono diversi moduli Glupteba che mirano a sfruttare le vulnerabilità in vari dispositivi Internet of Things (IoT) di fornitori come MikroTik e Netgear.

È almeno dal 2019 che questo trojan sfrutta la blockchain Bitcoin per distribuire i suoi domini di comando e controllo (C2) ai sistemi infetti. Oltre al fatto che si tratta di una tecnica poco comune, questo meccanismo è anche estremamente resistente ai takedown, poiché non c’è modo di cancellare o censurare una transazione Bitcoin convalidata. Utilizzando lo stesso approccio che Glupteba usa per nascondere i dati all’interno della blockchain, i ricercatori possono andare a caccia di transazioni dannose e recuperare i loro payload. Se i domini in questione non sono memorizzati in chiaro, l’inversione dei campioni di Glupteba consente ai ricercatori di sicurezza di decifrare il payload e accedere ai domini incorporati.

Una nuova ricerca di Nozomi Networks Labs indaga il trojan

I ricercatori di Nozomi Networks hanno indagato sull’attività della blockchain di Glupteba per identificare un sistema utile a scovare l’attività dannosa di Glupteba e le azioni malevole che gli operatori hanno cercato di nascondere. I Nozomi Networks Labs hanno condotto le seguenti ricerche:

· Indagine dell’intera blockchain Bitcoin alla ricerca di domini C2 nascosti;

· Tentativo di decriptare il payload dei dati dello script OP_RETURN presente in ogni transazione di ogni blocco utilizzando tutti gli algoritmi e le chiavi Glupteba conosciute;

· Download di oltre 1500 campioni di Glupteba da VirusTotal e esame dei wallet address utilizzati per assicurarsi che non fossero sfuggite informazioni essenziali;

· Identificazione dell’ultima serie di certificati TLS utilizzati da Glupteba, che presentano anche un pattern preciso nei SAN (Subject Alternative Name) e che, grazie alla trasparenza dei certificati, possono essere tracciati e seguiti;

· Verifica di tutti i record DNS passivi a disposizione per individuare potenziali domini e host associati.

La ricerca dei Nozomi Networks Labs ha identificato una serie di eventi che mostrano le azioni intraprese dagli attori di Glupteba, riassunti nel blog a questo link.