Glupteba - un nouveau malware dangereux

By AfricaCyberMag , 14 juillet, 2020

Par AfricaCyberMag , 14 juillet 2020

Pensiez-vous que la blockchain bitcoin était entièrement dédiée à la crypto-monnaie ? Maintenant, il est exploité par des attaquants de logiciels malveillants pour propager leurs campagnes d'attaque.

Le scoop

Les chercheurs de Sophos ont déconstruit une souche de malware - Glupteba - qui a pas mal de nouveaux trucs dans ses manches. L'une de ces astuces consiste à masquer les mises à jour de sa liste de serveurs C2 en analysant et décryptant les commentaires d'apparence bénigne dans la chaîne de blocs de transactions bitcoin.

Découvrez le fonctionnement de Glupteba

Glupteba utilise la même méthode de propagation que celle de l'exploit EternalBlue et s'est avérée être liée à l'exploit Shadow Brokers.
Glupteba est un bot ou zombie est un compte-gouttes pour les composants qui étendent ses capacités.
Ses capacités incluent - le maintien de la furtivité via un rootkit, le mouvement latéral et les attaques contre les appareils IoT tels que les routeurs MikroTik.

Où la blockchain entre-t-elle en jeu ?

Les transactions Bitcoin sont enregistrées dans la blockchain bitcoin qui est un grand livre public distribué.
Pour mettre à jour ses serveurs de commande et de contrôle (C2), Glupteba contient une fonction de mise à jour de domaine qui interroge les données de transaction à partir de la blockchain bitcoin.
Il utilise le hachage codé en dur de l'historique du script de transaction pour trouver la transaction appropriée contenant le nom de domaine C2 chiffré dans son champ OP_RETURN.
Il peut également le faire en recherchant une liste de transactions sur les informations de la chaîne de blocs [.] Pour une adresse de transaction spécifique et en examinant la dernière transaction des adresses codées en dur.

À retenir

Glupteba est un malware malveillant sournois doté de nombreuses fonctionnalités furtives qui rendent difficile la détection et la prévention de sa propagation. Cependant, en raison de sa nature complexe, il n'est pas non plus fiable. Par conséquent, il est susceptible de déclencher les alarmes de sécurité à un moment donné.

EN RELATION

More CYBER ALERTES

CYBER ALERTES

Vulnérabilité de type injection de commandes dans l’API COMMAND de Rust sous Windows

15/04/2024
CYBER ALERTES

Vulnérabilité de type injection de commandes dans le noyau Linux de Debian

15/04/2024
CYBER ALERTES

Vulnérabilités dans noyau Linux de RedHat

08/04/2024

Glupteba - un nouveau malware dangereux

Vulnérabilité d’élévation de privilèges dans les plugins Malware Scanner et Web Application Firewall de WordPress

Opportunités économiques en Cybersécurité en Afrique: BUSINESS France organise des French CyberSecurity Days en Afrique du Sud et au Botswana

Attaques de ransomwares en Afrique : les stratégies nationales à l’épreuve et une checklist complète pour se protéger

Vulnérabilité de type injection de commandes dans l’API COMMAND de Rust sous Windows

Vulnérabilité de type injection de commandes dans le noyau Linux de Debian

Vulnérabilités dans noyau Linux de RedHat

Actualités Cyber en Afrique