‘Unstoppable’ Malware gebruikt Bitcoin om geheime berichten op te halen

Eimantas Žemaitis

Juni 26, 2023 13:17 CEST | 2 min read

Glupteba, een stiekeme malware die van een afstand kan worden bestuurd, bevat een reeks componenten om zijn sporen uit te wissen, en hij werkt zichzelf bij met versleutelde berichten die verborgen zijn in de Bitcoin blockchain, schrijven cybersecurity-experts van Sophos Labs.

De Glupteba-bot is een malwarecampagne die achterdeuren creëert met volledige toegang tot besmette apparaten, die worden toegevoegd aan het groeiende botnet. De analyse beschrijft het als een "zeer zelfverdedigende malware" met "verbeterde functies die de malware in staat stellen detectie te omzeilen".

Het meest interessante aspect van Glupteba is dat het de Bitcoin-blockchain gebruikt als communicatiekanaal voor het ontvangen van bijgewerkte configuratie-informatie, aangezien bitcoin-transacties ook een commentaar van maximaal 80 tekens kunnen bevatten.

Glupteba gebruikt deze berichtenruimte voor gecodeerde berichten. Deze berichten bevatten geheimen, zoals command-and-control servernamen, en verbergen ze dus slim in de openbare blockchain – in het zicht van het vliegtuig.

Andere opmerkelijke mogelijkheden van Glupteba zijn onder meer:

• Een cryptojacker, die hem in staat stelt op te treden als een managementtool voor geheime crypto-mijnwerkers.
• Een rootkit die detectie helpt voorkomen door malware-bestanden van de radar te houden als ze met succes zijn geladen.
• Een virus om zichzelf automatisch over uw netwerk te verspreiden.
• Een beveiligingsonderdrukker die zijn best doet om Windows Defender uit te schakelen.
• Een browser stealer die achter lokale gegevensbestanden van Chrome, Firefox, Yandex en Opera aan gaat.
• Een routeraanvaltool om populaire routers voor thuisgebruik en kleine bedrijven te misbruiken om andere mensen aan te vallen.

De complexe malware is nog steeds in ontwikkeling en het lijkt erop dat het de bedoeling is om zoveel mogelijk computers te infecteren.

De auteurs van het rapport schrijven:

“With the use of its exhaustive backdoor functions, Glupteba can download a wide variety of other malware, while collecting a large amount of information from the victim’s computer. Even today, Glupteba drops cryptocurrency miners and browser stealer components, attacks MikroTik routers, and leverages its proxy components to conceal which binary is communicating with the outside world.”

Jameson Lopp, CTO bij crypto-beveiligingsspecialist Casa en bitcoin-ontwikkelaar beschreef de malware als "een niet te stoppen dapp":

Put your botnet's command & control infrastructure on a censorship resistant distributed database? That's what I call an unstoppable dapp! https://t.co/qDptVF3YNO

— Jameson Lopp (@lopp) June 24, 2020

Deze geavanceerde malware is slechts een ander voorbeeld van een niet-monetair gebruiksscenario van de Bitcoin en het niet-censuurbare openbare grootboek dat ook virtuele krachtcentrales en open digitale ID (DID) systemen bevat.

Om uzelf te beschermen, stelt Sophos Labs de volgende beveiligingspraktijken voor:

• Patch vroeg en vaak. Zorg ervoor dat uw besturingssysteem, apps en gerelateerde apparaten zoals routers of servers altijd up-to-date zijn.
• Gebruik een degelijke antivirus met webfiltering.
• Blijf weg van hookey-software (gekraakte programma’s die u gratis op internet kunt downloaden in plaats van te betalen voor een gelicentieerde versie), omdat deze waarschijnlijk is geïnfecteerd met malware.