De malware Glupteba maakt volgens onderzoekers van Trend Micro gebruik van de Bitcoin-blockchain. Dit schrijven de onderzoekers in een artikel dat onlangs werd gepubliceerd. Door gebruik te maken van de blockchain kan de malware zich beschermen tegen tegenaanvallen.
Glupteba is malware dat de computers van slachtoffers gebruikt om onder andere monero (XMR) te minen zonder dat zij zich hier bewust van zijn, ook wel cryptojacking genoemd. De malware installeert zichzelf aan de hand van een zogenaamde dropper. Zo leggen de onderzoekers uit:
De targetmachine wordt eerst getroffen met een “malvertising-aanval”, waardoor deze wordt gedwongen een Glupteba “dropper” te downloaden.
De dropper zal het doelwit overspoelen met verschillende rootkits, achterdeuren en andere bestanden die van GitHub komen. Vervolgens worden de gebruikelijke dingen gedaan, zo wordt gecontroleerd op antivirusprogramma’s, kwaadaardige firewall-regels toegevoegd en neemt het zichzelf op in de whitelists.
De Bitcoin-blockchain wordt gebruikt om zogenaamde command and control (C&C) servers te vervangen. Dit zijn de centrale servers vanwaar opdrachten worden gegeven aan de geïnfecteerde computers. Wanneer zo’n C&C wegvalt doordat een antivirusprogramma de connectie met een dergelijke server blokkeert, versturen de aanvallers via een Bitcoin-transactie nieuwe opdrachten zodat de operatie voortgezet kan worden.
Het is hierdoor vrijwel onmogelijk om nieuwe opdrachten aan de geïnfecteerde computers te herkennen en te blokkeren. De onderzoekers leggen uit:
Als ze om welke reden dan ook de controle over een C&C server verliezen, hoeven ze enkel een nieuw bitcoinscript toe te voegen waardoor de geïnfecteerde machines een nieuwe C&C server krijgen door de scriptgegevens te decoderen en opnieuw verbinding te maken.
De Glupteba malware mined zonder dat het slachtoffer het door heeft monero. Echter steelt het ook gevoelige data zoals wachtwoorden en cookies. De onderzoekers stellen dan ook dat gebruikers en bedrijven zich zeer bewust moeten zijn van dit type malware, dat zich constant evolueert en nieuwe technieken aanneemt om operationeel te kunnen blijven.
Wil je op de hoogte blijven van het laatste nieuws? Abonneer je dan op onze push-berichten, Facebook– of Twitter. Meediscussiëren? Meld je dan aan voor ons Telegram kanaal.
