mercoledì 8 luglio 2020

Sophos, Glupteba: infido malware che elude sistemi di rilevamento


Sophos ha  pubblicato un report su una famiglia di malware i cui numeri di infezione sono in costante aumento dall'inizio dell'anno. Il report si è immerso profondamente in ciò che rende distintivo Glupteba. Questo malware ha ricevuto aggiornamenti regolari e miglioramenti delle funzionalità che sembrano concentrarsi sulla sua capacità di nascondersi dal rilevamento su computer infetti. Il malware principale è, in sostanza, un dropper con funzionalità backdoor estese, ma che fa grandi sforzi per mantenere se stesso e i suoi vari componenti, nascosti alla vista dall'operatore umano di un computer infetto o dal software di sicurezza incaricato della sua protezione.

Per svolgere queste attività, i creatori di Glupteba hanno optato per un approccio modulare al loro malware, che può scaricare ed eseguire i payload destinati ad estendere la funzionalità del bot. Molti di questi payload sono script e binari di exploit che hanno origine in repository di strumenti open source, come Github, un servizio web di cloud hosting. Uno dei modi in cui Glupteba utilizza questi exploit è l'escalation dei privilegi, principalmente in modo da poter installare un driver del kernel che il bot utilizza come rootkit e apportare altre modifiche che indeboliscono la posizione di sicurezza di un host infetto. Il rootkit rende il comportamento del file system invisibile all'utente finale del computer e protegge anche qualsiasi altro file che il malware decide di archiviare nella sua directory dell'applicazione.

Una delle tendenze più evidenti quando si parla di criminalità informatica è la mercificazione degli attacchi: pagando, i cybercriminali possono aver accesso a qualunque strumento necessario ai loro attacchi, incluse reti di dispositivi infetti che possono essere sfruttate per la diffusione di contenuti dannosi. I SophosLabs hanno pubblicato il nuovo rapporto "Glupteba malware hides in plain sight" in cui viene evidenziato come Glupteba si sia evoluto in una rete di distribuzione di malware estremamente pericolosa e difficile da intercettare. Il bot Glupteba è un malware sofisticato che crea backdoor con pieno accesso ai dispositivi infetti che a loro volta vengono aggiunti alla sua botnet in continua crescita. Il malware utilizza anche il registro di Windows a proprio vantaggio, memorizzando molte delle sue opzioni di configurazione.


I criminali informatici diffondono Glupteba attraverso ADinjection su siti web legittimi, per poi sfruttarlo al fine di diffondere browser stealer o router exploiter. Il rapporto dei SophosLabs spiega in modo approfondito le tecniche  (TTP) utilizzate da Glubteba per eludere i sistemi di sicurezza e continuare il proprio attacco indisturbato: • Lo scopo principale di Glupteba è quello di infettare un computer al fine di installare malware senza che vengano prontamente rilevati; • Attualmente, uno degli espedienti più utilizzati è il cryptominer che, una volta installato nella rete della vittima, può scaricare ed eseguire strumenti aggiuntivi che gli consentono di: • Installare rootkit per nascondere i propri processi e componenti; • Rubare le informazioni del browser raccogliendo i cookie, la cronologia e le credenziali inviandole al server di comando e controllo;

• Inoltrare le richieste di rete installando i propri componenti proxy; • Estrapolare una elevata quantità di dati del dispositivo, tra cui le informazioni di configurazione memorizzate, il numero BUILD del sistema operativo, il numero di serie della scheda madre, l'indirizzo MAC, il numero di serie dell'unità disco, la data di installazione del sistema operativo o della RAM; • Compromettere i router vulnerabili; • Gli sviluppatori di Glupteba hanno dedicato le proprie energie ad assicurarsi che la loro creazione possa eludere i sistemi di rilevamento in diversi modi: • utilizando i file Watchers che monitorano continuamente le prestazioni dei processi di Glupteba in modo che funzionino senza errori che potrebbero poi innescare un allarme sulla rete; • Aggiungere Glupteba alle liste di esclusione dei Windows Defender;

• Aggiornare, riavviare e camuffare i processi malevoli; • Utilizzare la blokchain dei bitcoin per aggiornare segretamente gli indirizzi dei server di comando e controllo del bot. Luca Nagy, security researcher at Sophos e autore principale del report, ha spiegato: "I più astuti cybercryminali progettano il loro malware in modo da farlo passare assolutamente inosservato. Per farlo, raccolgono il maggior numero di informazioni per impostare le proprie mosse e affinare le loro tecniche. Mentre analizzavamo Glupteba, ci siamo resi conto che gli hacker che gestiscono il bot investono una grande quantità di tempo ed energie per l'autodifesa. Inoltre, Glupteba è stato progettato per essere generico, in grado di implementare una vasta gamma di diverse attività dannose attraverso i suoi diversi componenti e le sue ampie funzioni di backdoor".




Fonte: Sound PR
Via: MB

1 commento:

Related Posts Plugin for WordPress, Blogger...