据悉,Glupteba
恶意软件僵尸网络在将近一年前被谷歌中断后重新活跃起来,感染了全球范围内的设备。早在2021年12月,谷歌设法对支持区块链的僵尸网络造成大规模破坏,确保法院下令控制僵尸网络的基础设施,并对两家俄罗斯运营商提起诉讼。
Nozomi报告说,区块链交易、TLS 证书注册和逆向工程 Glupteba 样本显示了一场新的大规模 Glupteba 活动,该活动于 2022 年 6 月开始,目前仍在进行中。
隐藏在区块链中
Glupteba 是一种支持区块链的模块化恶意软件,它会感染 Windows 设备以挖掘加密货币、窃取用户凭据和 cookie,并在 Windows 系统和物联网设备上部署代理。这些代理后来作为“住宅代理”出售给其他网络犯罪分子。
该恶意软件主要通过按安装付费 (PPI) 网络和流量分配系统 (TDS) 上的恶意广告传播,将安装程序伪装成免费软件、视频和电影。Glupteba 利用比特币区块链通过接收更新的命令和控制服务器列表来避免中断,它应该联系以执行命令。
僵尸网络的客户端使用枚举比特币钱包服务器的发现功能检索 C2 服务器地址,检索他们的交易,并解析它们以找到 AES 加密地址。
Glupteba多年来一直采用这种策略,这是因为区块链交易无法被删除,所以 C2 地址删除工作对僵尸网络的影响有限。
此外,如果没有比特币私钥,
Nozomi报告说,区块链交易、TLS 证书注册和逆向工程 Glupteba 样本显示了一场新的大规模 Glupteba 活动,该活动于 2022 年 6 月开始,目前仍在进行中。
隐藏在区块链中
Glupteba 是一种支持区块链的模块化恶意软件,它会感染 Windows 设备以挖掘加密货币、窃取用户凭据和 cookie,并在 Windows 系统和物联网设备上部署代理。这些代理后来作为“住宅代理”出售给其他网络犯罪分子。
该恶意软件主要通过按安装付费 (PPI) 网络和流量分配系统 (TDS) 上的恶意广告传播,将安装程序伪装成免费软件、视频和电影。Glupteba 利用比特币区块链通过接收更新的命令和控制服务器列表来避免中断,它应该联系以执行命令。
僵尸网络的客户端使用枚举比特币钱包服务器的发现功能检索 C2 服务器地址,检索他们的交易,并解析它们以找到 AES 加密地址。
Glupteba多年来一直采用这种策略,这是因为区块链交易无法被删除,所以 C2 地址删除工作对僵尸网络的影响有限。
此外,如果没有比特币私钥,