Glupteba malware maakt gebruik van Bitcoin (BTC) blockchain voor cryptojacking

De malware Glupteba maakt volgens onderzoekers van Trend Micro gebruik van de Bitcoin-blockchain. Dit schrijven de onderzoekers in een artikel dat onlangs werd gepubliceerd. Door gebruik te maken van de blockchain kan de malware zich beschermen tegen tegenaanvallen.
Glupteba is malware dat de computers van slachtoffers gebruikt om onder andere monero (XMR) te minen zonder dat zij zich hier bewust van zijn, ook wel cryptojacking genoemd. De malware installeert zichzelf aan de hand van een zogenaamde dropper. Zo leggen de onderzoekers uit:

De targetmachine wordt eerst getroffen met een “malvertising-aanval”, waardoor deze wordt gedwongen een Glupteba “dropper” te downloaden.

De dropper zal het doelwit overspoelen met verschillende rootkits, achterdeuren en andere bestanden die van GitHub komen. Vervolgens worden de gebruikelijke dingen gedaan, zo wordt gecontroleerd op antivirusprogramma’s, kwaadaardige firewall-regels toegevoegd en neemt het zichzelf op in de whitelists.

De Bitcoin-blockchain wordt gebruikt om zogenaamde command and control (C&C) servers te vervangen. Dit zijn de centrale servers vanwaar opdrachten worden gegeven aan de geïnfecteerde computers. Wanneer zo’n C&C wegvalt doordat een antivirusprogramma de connectie met een dergelijke server blokkeert, versturen de aanvallers via een Bitcoin-transactie nieuwe opdrachten zodat de operatie voortgezet kan worden.
Het is hierdoor vrijwel onmogelijk om nieuwe opdrachten aan de geïnfecteerde computers te herkennen en te blokkeren. De onderzoekers leggen uit:

Als ze om welke reden dan ook de controle over een C&C server verliezen, hoeven ze enkel een nieuw bitcoinscript toe te voegen waardoor de geïnfecteerde machines een nieuwe C&C server krijgen door de scriptgegevens te decoderen en opnieuw verbinding te maken.

De Glupteba malware mined zonder dat het slachtoffer het door heeft monero. Echter steelt het ook gevoelige data zoals wachtwoorden en cookies. De onderzoekers stellen dan ook dat gebruikers en bedrijven zich zeer bewust moeten zijn van dit type malware, dat zich constant evolueert en nieuwe technieken aanneemt om operationeel te kunnen blijven.
Wil je op de hoogte blijven van het laatste nieuws? Abonneer je dan op onze push-berichten, Facebook– of Twitter. Meediscussiëren? Meld je dan aan voor ons Telegram kanaal.

Timo is hoofdredacteur van Crypto Insiders en een gepassioneerde voorstander van de real-world toepassingen van cryptotechnologie. Zijn interesse werd gewekt tijdens zijn werk voor een groot Fins accountancybedrijf, waar hij onderzoek deed naar het toepassen van blockchain door financiële bedrijven. Ook voor zijn Master’s thesis bleef hij in de cryptohoek. Hij onderzocht hoe NFT’s in kunnen worden toegepast in games, en welke uitdagingen daar liggen. Timo gelooft dat cryptotechnologie onze economie inclusiever, eerlijker en welvarender kan maken, en dat de transparantie van deze technologie corruptie in ontwikkelingslanden kan tegengaan.