Sempre più spesso, i cybercriminali sfruttano la tecnologia blockchain per lanciare e diffondere i propri attacchi, facendo leva sulla natura distribuita e decentralizzata propria della blockchain che consente di sfruttare l’anonimato per agire indisturbati per diversi tipi di attacchi, dalla propagazione di malware alla distribuzione di ransomware. Il trojan Glupteba è un esempio di minaccia che sfrutta le tecnologie basate su blockchain per portare avanti le proprie attività dannose. I laboratori di ricerca di Nozomi Networks hanno analizzato il trojan Glupteba evidenziando attività dannose che fanno leva proprio sulla blockchain e che ora rendono pubbliche a tutela dei team di security.
Ricordiamo alle aziende di ogni dimensione che proteggersi in maniera tempestiva è l’unico strumento per evitare situazioni che possono avere pesanti ripercussioni. Investire nella giusta tecnologia con aggiornamenti periodici e formare il personale sono gli strumenti più potenti in materia di sicurezza informatica in mano alle organizzazioni.
Cos’è Glupteba
Glupteba è un trojan backdoor che viene scaricato tramite reti Pay-Per-Install – campagne pubblicitarie online che richiedono il download di software o applicazioni – in programmi di installazione infetti o crack di software. Una volta che Glupteba è attivo su un sistema, gli operatori della botnet possono distribuire moduli aggiuntivi per sfruttare i kit di compromissione dei dispositivi sulla rete di destinazione. Esistono diversi moduli Glupteba che mirano a sfruttare le vulnerabilità in vari dispositivi Internet of Things (IoT) di fornitori come MikroTik e Netgear.
È almeno dal 2019 che questo trojan sfrutta la blockchain Bitcoin per distribuire i suoi domini di comando e controllo (C2) ai sistemi infetti. Oltre al fatto che si tratta di una tecnica poco comune, questo meccanismo è anche estremamente resistente ai takedown, poiché non c’è modo di cancellare o censurare una transazione Bitcoin convalidata. Utilizzando lo stesso approccio che Glupteba usa per nascondere i dati all’interno della blockchain, i ricercatori possono andare a caccia di transazioni dannose e recuperare i loro payload. Se i domini in questione non sono memorizzati in chiaro, l’inversione dei campioni di Glupteba consente ai ricercatori di sicurezza di decifrare il payload e accedere ai domini incorporati.
Una nuova ricerca di Nozomi Networks Labs indaga il trojan
I ricercatori di Nozomi Networks hanno indagato sull’attività della blockchain di Glupteba per identificare un sistema utile a scovare l’attività dannosa di Glupteba e le azioni malevole che gli operatori hanno cercato di nascondere. I Nozomi Networks Labs hanno condotto le seguenti ricerche:
· Indagine dell’intera blockchain Bitcoin alla ricerca di domini C2 nascosti;
· Tentativo di decriptare il payload dei dati dello script OP_RETURN presente in ogni transazione di ogni blocco utilizzando tutti gli algoritmi e le chiavi Glupteba conosciute;
· Download di oltre 1500 campioni di Glupteba da VirusTotal e esame dei wallet address utilizzati per assicurarsi che non fossero sfuggite informazioni essenziali;
· Identificazione dell’ultima serie di certificati TLS utilizzati da Glupteba, che presentano anche un pattern preciso nei SAN (Subject Alternative Name) e che, grazie alla trasparenza dei certificati, possono essere tracciati e seguiti;
· Verifica di tutti i record DNS passivi a disposizione per individuare potenziali domini e host associati.
La ricerca dei Nozomi Networks Labs ha identificato una serie di eventi che mostrano le azioni intraprese dagli attori di Glupteba, riassunti nel blog a questo link.
