Los expertos de Palo Alto Networks Unit 42 han descubierto un nuevo componente de Glupteba botnet que agrega una capa adicional de sofisticación al malware. Este componente utiliza UEFI bootkit para ocultar y crear una persistencia sigilosa, lo cual es muy difícil de detectar y eliminar. Glupteba es un malware multifuncional que roba información y actúa como puerta trasera para instalar componentes proxy, además de utilizar la cadena de bloques de Bitcoin como sistema de control de backup.
Además de otras funciones, Glupteba permite entregar cargas adicionales, robar credenciales y datos de tarjetas de crédito, realizar fraude publicitario e incluso explotar enrutadores para obtener credenciales y acceso administrativo remoto. Este tipo de malware modular es una amenaza sofisticada que utiliza cadenas de infección multifásicas para evitar la detección por parte de las soluciones de seguridad.
En noviembre de 2023, se descubrió que Glupteba utiliza servicios de pago por instalación, como Ruzki, para distribuir el malware. Sekoia relacionó Ruzki con grupos de actividad maliciosa y utilizó PrivateLoader para propagar el malware de siguiente fase, siendo este último el responsable de cargar Glupteba.
Las versiones anteriores de Glupteba instalaban un controlador kernel utilizado por el bot como rootkit, lo que debilita la seguridad del equipo infectado. Los investigadores destacan la complejidad y la capacidad de adaptación de Glupteba, así como sus innovadoras estrategias de colaboración y monetización utilizadas por los ciberdelincuentes en sus intentos de infección masiva. Esta infame red de bots representa una seria amenaza para la seguridad de la red y se espera que los esfuerzos para combatirla continúen en curso.
Vía The Hacker News