Hechos clave:
-
El software malicioso Glupteba usualmente viene oculto en versiones pirateadas de software comercial
-
El malware crea una puerta trasera en el PC infectado y lo incluye en una red de bots.
Una publicaciĆ³n de la empresa de seguridad informĆ”tica Sophos describe nuevas funciones y capacidades del malware Glupteba, que puede crear una puerta trasera en los computadores de escritorio con Windows. Esto no solo brinda completo acceso al PC infectado, tambiĆ©n lo integra a una creciente red de bots, o botnet, que asegura mayor propagaciĆ³n del malware.
Glupteba es un software malicioso del tipo troyano, denominado asĆ porque viene oculto en otro software, en apariencia legĆtimo. Por ejemplo, los investigadores de Sophos detectaron el malware en su versiĆ³n actual en una versiĆ³n pirata de Adobe Illustrator. En el reporte de Sophos, publicado el miĆ©rcoles 24, se advierte que el malware puede tener otras formas de propagaciĆ³n.
Como lo reportĆ³ CriptoNoticias a inicios de septiembre de 2019, Glupteba ya usaba la blockchain de Bitcoin para consultar informaciĆ³n actualizada necesaria para su operaciĆ³n, previamente almacenada en ciertas transacciones. Dichos datos provienen del campo del registro de una transacciĆ³n conocido como OP_RETURN, en el que se puede grabar informaciĆ³n no financiera.
En esta oportunidad, explica Sophos, Glupteba usĆ³ un conjunto de transacciones asociadas con una cartera de Bitcoin bajo el control de los hackers, para extraer informaciĆ³n encubierta. De un listado de esas transacciones, que estĆ”n accesibles en Bitcoin a travĆ©s de un explorador de bloques, Sophos seleccionĆ³ las que tenĆan grabada informaciĆ³n no financiera. Para descifrar la informaciĆ³n hexadecimal correspondiente de una de ellas, Sophos usĆ³ una llave de descifrado grabada en el malware, para obtener la informaciĆ³n encubierta (un nombre de dominio en el ejemplo usado).
Este recurso es efectivo para la distribuciĆ³n de informaciĆ³n que cambia constantemente, por ejemplo, los URL de ciertos servidores necesarios para asegurar la operaciĆ³n del malware. Basta con tener acceso a un nodo completo de Bitcoin para poder registrar esa informaciĆ³n periĆ³dicamente en la blockchain. En esta oportunidad, los datos grabados estĆ”n ademĆ”s encriptados.
MĆŗltiples capacidades
Glupteba va mucho mĆ”s allĆ” de una herramienta remota en manos de los hackers pues incluye varios archivos auxiliares del kernel o nĆŗcleo de Windows que le ayudan a ocultar sus procesos, de acuerdo al documento tĆ©cnico que Sophos dedica al anĆ”lisis de su estructura. TambiĆ©n Glupteba incorpora un mĆ³dulo destinado a neutralizar la primera lĆnea de defensa de Windows 10, un antivirus bĆ”sico conocido como Windows Defender. Este mĆ³dulo realiza chequeos regulares para asegurarse de que la herramienta se mantiene inactiva, e incluye defensas contra otros programas antivirus.
Para propagarse automĆ”ticamente en la red de la empresa y en otras redes que tengan defensas adecuadas, Glupteba cuenta con dos versiones del exploit EternalBlue, lo que aƱade a Glupteba otra faceta maliciosa: la capacidad de autopropagaciĆ³n de los gusanos informĆ”ticos.
Dentro de los 21 mĆ³dulos que detectĆ³ Sophos, hay uno destinado a vulnerar los enrutadores mĆ”s comunes usados en el hogar y pymes. De este modo, se usa el computador infectado como centro para atacar otras redes que posean enrutadores no protegidos. Con esta actividad, la vĆctima aparece como atacante pues se muestra al exterior como una fuente de actividad maliciosa.
Otra habilidad de la nueva versiĆ³n de Glupteba es robar los archivos locales que usan los navegadores como Chrome y Opera, entre otros. Estos archivos tienen elementos de seguridad como la historia de los sitios consultados, o informaciĆ³n de autenticaciĆ³n automĆ”tica almacenada en los denominados cookies. Otro campo que Glupteba aprovecha es el de cryptojacking pues tambiĆ©n oculta dos herramientas de minerĆa encubierta, segĆŗn Sophos.
Creado en 2018 y ligado previamente a la denominada operaciĆ³n Windigo, Glupteba incorporĆ³ en 2019 el uso de transacciones de la blockchain de Bitcoin para actualizar las direcciones de su centro de comando y control.