13 sep. 2019

Glupteba: malware que hace uso de transacciones de Bitcoin para actualizar servidores C2

Una nueva variedad del malware Glupteba recientemente descubierta contiene dos componentes adicionales a las funcionalidades originales del troyano: uno de ellos es un payload que permite hacerse con el control del navegador, y el otro se trata de un exploit para el router, según el artículo escrito por los investigadores Jaromir Horejsi y Joseph Chen para Trend Micro.

El payload que se hace con el control del navegador de la víctima tiene la capacidad de robar el historial de navegación, cookies, y nombres de cuentas de usuarios junto a sus contraseñas; los navegadores afectados son Chrome, Opera y Yandex. Por su parte, el exploit para el router aprovecha una antigua vulnerabilidad que ya fue resuelta, MikroTik RouterOS, la cual permite a atacantes autentificados de manera remota escribir archivos diversos. La ejecución del exploit permitiría a los atacantes configurar el router como un proxy SOCKS a través del cual encaminar tráfico malicioso con el objetivo de ocultar su IP real.

"Parece que los atacantes siguen mejorando el malware y puede que estén intentando expandir su red proxy al Internet de las Cosas (IoT)", informaban los investigadores.

No obstante, lo que resulta digno de mencionar es la nueva funcionalidad de Glupteba para actualizar los C&C. Según Trend Micro, el malware usa la función discoverDomain la cual "enumera servidores de cartera Electrum Bitcoin usando una lista pública, y luego intenta hacer una petición al historial del hash del blockchain del script con un hash incrustado. Posteriormente, este comando revela todas las transacciones relacionadas".

"Luego cada transacción es analizada, buscando la instrucción OP_RETURN. La información seguida por esta instrucción es usada como parámetro para una rutina de descifrado AES… Esta técnica hace más cómodo al atacante reemplazar los servidores C&C. Si pierden el control de un servidor C&C por algún motivo, tan solo necesitan añadir un nuevo script de Bitcoin y las máquinas infectadas obtendrán un nuevo servidor C&C al descifrar la información del script y retomar la conexión".
Esta versión de Glupteba fue distribuida mediante una campaña publicitaria de malware (malvertising) que tenía como objetivo sitios web que compartían archivos, de acuerdo a la información proporcionada por Trend Micro.

Fuente: Hispasec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!