Les opérateurs du botnet Glupteba ont refait surface en juin 2022 dans le cadre d’une campagne renouvelée et « améliorée », des mois après que Google a interrompu l’activité malveillante.
L’attaque en cours suggère la résilience du logiciel malveillant face aux démontages, a déclaré la société de cybersécurité Nozomi Networks dans un article. « De plus, il y a eu une multiplication par dix des services cachés TOR utilisés comme serveurs C2 depuis la campagne 2021 », a-t-il noté.
Le malware, qui est distribué par le biais de publicités frauduleuses ou de cracks logiciels, est également équipé pour récupérer des charges utiles supplémentaires qui lui permettent de voler des informations d’identification, d’exploiter des crypto-monnaies et d’étendre sa portée en exploitant les vulnérabilités des appareils IoT de MikroTik et Netgear.
Il s’agit également d’un exemple d’un malware inhabituel qui exploite la blockchain comme mécanisme de commande et de contrôle (C2) depuis au moins 2019, rendant son infrastructure résistante aux efforts de retrait comme dans le cas d’un serveur traditionnel.
Plus précisément, le botnet est conçu pour rechercher dans la blockchain publique Bitcoin les transactions liées aux adresses de portefeuille détenues par l’acteur de la menace afin de récupérer l’adresse cryptée du serveur C2.
« Cela est rendu possible par l’opcode OP_RETURN qui permet de stocker jusqu’à 80 octets de données arbitraires dans le script de signature », a expliqué la société de sécurité industrielle et IoT, ajoutant que le mécanisme rend également Glupteba difficile à démanteler car « il n’y a aucun moyen de effacer ni censurer une transaction Bitcoin validée. »
La méthode facilite également le remplacement d’un serveur C2 en cas de panne, car il suffit aux opérateurs de publier une nouvelle transaction à partir de l’adresse de portefeuille Bitcoin contrôlée par l’acteur avec le serveur mis à jour codé.
En décembre 2021, Google a réussi à nuire considérablement à ses opérations, tout en intentant une action en justice contre deux ressortissants russes qui supervisaient le botnet. Le mois dernier, un tribunal américain a statué en faveur du géant de la technologie.
« Alors que les opérateurs de Glupteba ont repris leurs activités sur certaines plates-formes et appareils IoT autres que Google, braquer les projecteurs juridiques sur le groupe rend moins attrayant pour d’autres opérations criminelles de travailler avec eux », a souligné le géant de l’Internet en novembre.
Nozomi Networks, qui a examiné plus de 1 500 échantillons de Glupteba téléchargés sur VirusTotal, a déclaré qu’il était en mesure d’extraire 15 adresses de portefeuille qui ont été utilisées par les acteurs de la menace depuis le 19 juin 2019.
La campagne en cours qui a débuté en juin 2022 est peut-être aussi la plus grande vague de ces dernières années, avec le nombre d’adresses bitcoin voyous passant à 17, contre quatre en 2021.
L’une de ces adresses, qui a été active pour la première fois le 1er juin 2022, a effectué 11 transactions à ce jour et est utilisée dans pas moins de 1 197 artefacts, ce qui en fait l’adresse de portefeuille la plus utilisée. La dernière transaction a été enregistrée le 8 novembre 2022.
« Les acteurs de la menace utilisent de plus en plus la technologie blockchain pour lancer des cyberattaques », ont déclaré les chercheurs. « En tirant parti de la nature distribuée et décentralisée de la blockchain, les acteurs malveillants peuvent exploiter son anonymat pour une variété d’attaques, allant de la propagation de logiciels malveillants à la distribution de ransomwares. »