Se cree que la eliminación de la botnet es temporal, ya que el grupo delictivo tiene un mecanismo de comando y control de respaldo basado en la cadena de bloques de Bitcoin.
Al trabajar con varios proveedores de alojamiento e infraestructura de Internet, incluido Cloudflare, Google interrumpió el funcionamiento de una botnet agresiva de Windows conocida como Glupteba que se distribuía a través de anuncios falsos. También sirvió como una red de distribución de malware adicional. La compañía también presentó una demanda contra dos personas que se cree que tienen su sede en Rusia y que desempeñan un papel central en la operación de la botnet.
La acción de Google se centró en la infraestructura clave de comando y control, como servidores y nombres de dominio utilizados por Glupteba, así como muchas cuentas no autorizadas en los servicios de Google que se estaban utilizando para distribuirlo. Si bien este es un golpe severo para la botnet, cuyo tamaño estimado es de más de 2 millones de computadoras, es poco probable que desaparezca porque Glupteba tiene un mecanismo de respaldo de comando y control (C&C) que se basa en la cadena de bloques de Bitcoin. Esto le proporciona resistencia contra los intentos de eliminación.
"Hemos rescindido alrededor de 63 millones de documentos de Google que han distribuido Glupteba, 1,183 cuentas de Google, 908 proyectos en la nube y 870 cuentas de anuncios de Google asociadas con su distribución", dijeron los investigadores del Grupo de Análisis de Amenazas de Google en un informe . "Además, se advirtió a 3,5 millones de usuarios antes de descargar un archivo malicioso a través de las advertencias de Navegación segura de Google".
¿Qué es Glupteba?
Glupteba es un programa de malware de Windows con un componente de rootkit que proporciona capacidades avanzadas de sigilo y autodefensa y una variedad de componentes adicionales o complementos que amplían su funcionalidad. Estos incluyen la minería de criptomonedas, el robo de contraseñas y cookies de los navegadores, la propagación a través de la red local, comprometer los enrutadores MikroTik locales y usarlos como proxies para el tráfico malicioso, y realizar el envenenamiento de la caché de DNS para dirigir a los usuarios de la red local a sitios web fraudulentos.
El conjunto de características de Glupteba le permite actuar como un descargador de otro malware y hay evidencia de que se ha utilizado para distribuir malware para otros actores de amenazas. Un ejemplo de ello es la botnet Meris DDoS, conocida por abusar de los enrutadores MikroTik.
El cuentagotas Glupteba, el componente principal del malware, se distribuye de varias formas, pero principalmente a través de páginas web falsas y mensajes en sitios de redes sociales que promueven versiones pirateadas de aplicaciones y juegos comerciales populares. También se han observado anuncios maliciosos distribuidos a través de redes publicitarias que se vinculan con el malware, promoviendo aplicaciones de comercio de cifrado falsas y otros servicios. Los atacantes utilizaron cuentas de Google para publicar comentarios de spam en YouTube y alojar documentos con enlaces al malware en Google Docs.
Para propagarse a otros sistemas en la red local, Glupteba utiliza un complemento que aprovecha la vulnerabilidad EternalBlue SMB. Toda la comunicación con los servidores de comando y control se logra a través de otro componente que actúa como un proxy local.
Tras la instalación, el cuentagotas utiliza tareas programadas del sistema y herramientas del sistema como certutil para ejecutarse y establecer la persistencia. También agrega excepciones a Windows Defender para las carpetas de malware, elimina continuamente el proceso de actualización de Windows e implementa dos controladores del sistema cuyo objetivo es ocultar el proceso de malware.
Respaldo de comando y control a través de la cadena de bloques de Bitcoin
La botnet viene con URL de comando y control codificadas en el binario, pero tiene un mecanismo para actualizarlas después de la instalación en caso de que los dominios hayan cambiado. Además, existe un mecanismo de conmutación por error que se activa cuando el cliente de la botnet no puede acceder a ninguno de los dominios actuales de C&C. En tal caso, intentará extraer nuevos dominios de las últimas transacciones en tres billeteras Bitcoin.
Todas las transacciones de Bitcoin se registran en la cadena de bloques pública de Bitcoin, que es esencialmente un libro de contabilidad digital que se distribuye a todos los sistemas que participan en la red de Bitcoin. Bitcoin no admite de forma nativa el concepto de notas de transacción, porque esto agregaría datos a todas las transacciones, lo que haría que la cadena de bloques fuera innecesariamente más grande. Sin embargo, existe una forma de insertar una cantidad limitada de datos arbitrarios (40 bytes) en una transacción de Bitcoin mediante el uso de un campo llamado OP_RETURN. Aunque este campo fue diseñado para casos de uso específicos, técnicamente se puede usar para almacenar cualquier cosa y es más que suficiente para almacenar un nombre de dominio.
Siempre que quieran actualizar los dominios C&C, los operadores de Glupteba pueden simplemente iniciar una transacción desde una de las tres billeteras e incluir un nuevo nombre de dominio en forma encriptada en el campo OP_RETURN de la transacción. El malware está programado para buscar la última transacción, tomar los datos OP_RETURN cifrados y descifrarlos utilizando una clave AES codificada y luego conectarse al nuevo nombre de dominio. Dado que la cadena de bloques de Bitcoin nunca se puede interrumpir y los registros de transacciones son permanentes e inmodificables, incluso en ausencia de servidores C&C funcionales, los atacantes tienen una forma de recuperar el control de la botnet siempre que tengan control sobre una de las carteras de Bitcoin.
"Desafortunadamente, el uso de Glupteba de la tecnología blockchain como mecanismo de resiliencia es notable aquí y se está convirtiendo en una práctica más común entre las organizaciones de ciberdelincuencia", dijeron el vicepresidente de seguridad de Google, Royal Hansen, y el asesor general de la compañía, Halimah DeLaine Prado, en un comunicado conjunto. entrada de blog . "La naturaleza descentralizada de blockchain permite que la botnet se recupere más rápidamente de las interrupciones, lo que hace que sea mucho más difícil cerrarlas. Estamos trabajando en estrecha colaboración con la industria y el gobierno para combatir este tipo de comportamiento, de modo que incluso si Glupteba regresa, Internet estará mejor protegido contra él ".
La acción legal tiene precedente
Google presentó una queja en el Distrito Sur de Nueva York contra dos personas llamadas Dmitry Starovikov y Alexander Filippov, que se cree que residen en Rusia, por abuso y fraude informático, fraude de identidad, infracción de marca registrada, publicidad engañosa, competencia desleal y más. Además de los daños y la reparación, Google solicitó una orden de restricción temporal, así como una orden judicial permanente que impida que cualquier persona "ayude, ayude o incite a otra persona o entidad comercial a participar o realizar cualquiera de las actividades" descritas en la queja. . Si se concede, dicha orden judicial puede ayudar a Google y sus socios en sus esfuerzos por impedir que los atacantes utilicen nombres de dominio, servidores y otros servicios e infraestructura de empresas que tendrían que cumplir con la orden judicial.
Esta estrategia de demandar a los operadores de botnets para obtener órdenes judiciales que ayudarían o acelerarían los esfuerzos de eliminación de la infraestructura no es nueva. El año pasado, Microsoft presentó reclamaciones por infracción de derechos de autor contra los operadores de la botnet Trickbot para obtener una orden judicial que permitiera a la empresa y sus socios cortar la infraestructura clave y perturbar gravemente la botnet.
Fuente: https://www.csoonline.com/article/3643706/google-disrupts-major-malware-distribution-network-glupteba.html
Ingresa en nuestro portal web y conoce los productos y servicios que ofrecemos para reducir los riesgos potenciales y ayudarles a definir e implementar un conjunto de acciones para proteger su organización, haz click aquí:
No hay comentarios.:
Publicar un comentario