مرکز افتا درباره بدافزار بیتکوین هشدار داد
نوع جدیدی از بدافزار Glupteba کشف شده که بهعنوان یک آگهیافزار عمل کرده و به مهاجمان اجازه میدهد تا دستگاه آلوده را به یک روبات کاوش رمزارز (بیتکوین) تبدیل کرده و اطلاعات را سرقت کنند.براساس گزارش مرکز افتا نوع جدیدی از بدافزار Glupteba کشف شده است که از بلاکچین بیتکوین برای گرفتن دامنههای سرور فرمان و کنترل (C&C) از تراکنشهای بیتکوین مشخص شده با کدهای OP_RETURN استفاده میکند.
بدافزار Glupteba قبلا بهعنوان payload ثانویه تروجان Alureon توزیع میشد. این تروجان در سال ۲۰۱۱ به منظور انجام فرایند سرقت کلیک طراحی شده بود. همچنین عوامل تهدید عملیات Windigo در سال ۲۰۱۴ از این بدافزار استفاده کردند. علاوهبر این، در سال ۲۰۱۸ از این بدافزار در یک عملیات مخرب دیگر نیز استفاده شده بود. پژوهشگران Trend Micro اخیرا نوع جدیدی از Glupteba را کشف کردهاند که بهعنوان آگهیافزار عمل میکند، اما دو ماژول دیگر در خود جای داده است. ماژول اول بهروزرسانیکننده آدرس سرورهای C&C توسط زنجیره بلوک بیتکوین است که یک سارق اطلاعات و ماژول دوم اکسپلویتی برای هدف قرار دادن مسیریابهای میکروتیک محلی است. هنگامی که بدافزار یک رایانه را آلوده میکند، شروع به جمعآوری اطلاعات سیستم میکند و آنها را در رجیستری ویندوز ذخیره میکند.
این دادهها بعدا با AES رمزگذاری شده و توسط درخواست POST به سرور C&C ارسال میشوند.این بدافزار همچنین از چندین روش برای بالا بردن سطح دسترسی خود استفاده میکند تا مجوزهای سطح SYSTEM را بهدست آورد و توابع طراحیشده برای بررسی وجود نرمافزارهای ضدبدافزار، دستکاری قوانین دیوارآتش (فایروال) و بررسی دستورات جدید سرور C&C را اجرا کند. Glupteba دارای قابلیت درپشتی است که به مهاجمان اجازه میدهد تا دستگاه آلوده را به یک روبات کاوش رمزارز XMR تبدیل، فایلهای مختلف را بارگیری و اجرا کنند، از صفحه نمایش اسکرینشات بگیرند و موارد مخرب دیگر را انجام دهند. مولفه سارق اطلاعات بدافزار نیز میتواند پروندهها، کوکیها، گذرواژهها و سایر اطلاعات را از مرورگرها دریافت کند.