De Glupteba Het botnet blijkt een voorheen ongedocumenteerde Unified Extensible Firmware Interface (UEFI) bootkit-functie te bevatten, waardoor een nieuwe laag van verfijning en stealth aan de malware wordt toegevoegd.
“Deze bootkit kan ingrijpen en de [operating system] opstartproces, waardoor Glupteba zichzelf kan verbergen en een heimelijke persistentie kan creëren die uiterst moeilijk te detecteren en te verwijderen kan zijn”, zeiden Palo Alto Networks Unit 42-onderzoekers Lior Rochberger en Dan Yashnik in een analyse van maandag.
Glupteba is een volledig uitgeruste informatiedief en achterdeur die illegale cryptocurrency-mining kan faciliteren en proxycomponenten op geïnfecteerde hosts kan inzetten. Het is ook bekend dat het de Bitcoin-blockchain gebruikt als back-up command-and-control (C2)-systeem, waardoor het bestand is tegen verwijderingsinspanningen.
Met sommige van de andere functies kan het extra payloads leveren, inloggegevens en creditcardgegevens overhevelen, advertentiefraude uitvoeren en zelfs routers exploiteren om inloggegevens en administratieve toegang op afstand te verkrijgen.
De afgelopen tien jaar is modulaire malware veranderd in een geavanceerde dreiging die gebruik maakt van uitgebreide meerfasige infectieketens om detectie door beveiligingsoplossingen te omzeilen.
Een door het cyberbeveiligingsbedrijf waargenomen campagne uit november 2023 omvat het gebruik van pay-per-install (PPI) -diensten zoals Ruzki om Glupteba te distribueren. In september 2022 koppelde Sekoia Ruzki aan activiteitenclusters, waarbij PrivateLoader werd ingezet als kanaal om malware in de volgende fase te verspreiden.
Dit neemt de vorm aan van grootschalige phishing-aanvallen waarbij PrivateLoader wordt geleverd onder het mom van installatiebestanden voor gekraakte software, die vervolgens SmokeLoader laadt die op zijn beurt RedLine Stealer en Amadey lanceert, waarbij laatstgenoemde uiteindelijk Glupteba laat vallen.
“Bedreigingsactoren verspreiden Glupteba vaak als onderdeel van een complexe infectieketen die meerdere malwarefamilies tegelijkertijd verspreidt”, leggen de onderzoekers uit. “Deze infectieketen begint vaak met een PrivateLoader- of SmokeLoader-infectie die andere malwarefamilies laadt en vervolgens Glupteba laadt.”
Als teken dat de malware actief wordt onderhouden, wordt Glupteba uitgerust met een UEFI-bootkit door een aangepaste versie op te nemen van een open-sourceproject genaamd EfiGuard, dat PatchGuard en Driver Signature Enforcement (DSE) tijdens het opstarten kan uitschakelen.
Het is de moeite waard erop te wijzen dat eerdere versies van de malware “een kernelstuurprogramma installeerden dat de bot als rootkit gebruikt, en andere wijzigingen aanbrachten die de beveiligingspositie van een geïnfecteerde host verzwakken.”
“Glupteba-malware blijft zich onderscheiden als een opmerkelijk voorbeeld van de complexiteit en het aanpassingsvermogen van moderne cybercriminelen”, aldus de onderzoekers.
“De identificatie van een ongedocumenteerde UEFI-bypasstechniek binnen Glupteba onderstreept het vermogen van deze malware tot innovatie en ontduiking. Bovendien benadrukt het PPI-ecosysteem, met zijn rol bij de distributie van Glupteba, de samenwerkings- en monetiseringsstrategieën die cybercriminelen gebruiken bij hun pogingen tot massale infecties.”
