Posted by Botnet Glupteba diketahui menggunakan fitur bootkit Unified Extensible Firmware Interface ( UEFI ) yang sebelumnya tidak terdokumentasikan, sehingga menambahkan lapisan kecanggihan dan kerah asiaan pada malware tersebut.
“Bootkit ini dapat mengintervensi dan mengontrol proses booting [sistem operasi], memungkinkan Glupteba menyembunyikan dirinya sendiri dan menciptakan persistensi tersembunyi yang sangat sulit dideteksi dan dihilangkan,” kata peneliti Palo Alto Networks Unit 42, Lior Rochberger dan Dan Yashnik dalam sebuah pernyataan. Analisis hari Senin.
Glupteba adalah pencuri informasi dan pintu belakang berfitur lengkap yang mampu memfasilitasi penambangan mata uang kripto ilegal dan menyebarkan komponen proxy pada host yang terinfeksi. Ia juga diketahui memanfaatkan blockchain Bitcoin sebagai sistem perintah-dan-kontrol (C2) cadangan, sehingga tahan terhadap upaya penghapusan .
Beberapa fungsi lainnya memungkinkannya mengirimkan muatan tambahan, menyedot kredensial, dan data kartu kredit, melakukan penipuan iklan, dan bahkan mengeksploitasi router untuk mendapatkan kredensial dan akses administratif jarak jauh.
Selama dekade terakhir, malware modular telah bermetamorfosis menjadi ancaman canggih yang menggunakan rantai infeksi multi-tahap yang rumit untuk menghindari deteksi oleh solusi keamanan.
Kampanye pada bulan November 2023 yang dilakukan oleh perusahaan keamanan siber tersebut melibatkan penggunaan layanan bayar per pemasangan (PPI) seperti Ruzki untuk mendistribusikan Glupteba. Pada bulan September 2022, Sekoia menghubungkan Ruzki ke kluster aktivitas, memanfaatkan PrivateLoader sebagai saluran untuk menyebarkan malware tahap berikutnya.
Hal ini terjadi dalam bentuk serangan phishing skala besar di mana PrivateLoader dikirimkan dengan kedok file instalasi untuk perangkat lunak yang diretas, yang kemudian memuat SmokeLoader yang, pada gilirannya, meluncurkan RedLine Stealer dan Amadey, yang pada akhirnya menjatuhkan Glupteba.
“Pelaku ancaman sering kali mendistribusikan Glupteba sebagai bagian dari rantai infeksi kompleks yang menyebarkan beberapa keluarga malware pada saat yang bersamaan,” jelas para peneliti. “Rantai infeksi ini sering kali dimulai dengan infeksi PrivateLoader atau SmokeLoader yang memuat keluarga malware lain, kemudian memuat Glupteba.”
Sebagai tanda bahwa malware tersebut dipelihara secara aktif, Glupteba dilengkapi dengan bootkit UEFI dengan menggabungkan versi modifikasi dari proyek sumber terbuka bernama EfiGuard , yang mampu menonaktifkan PatchGuard dan Driver Signature Enforcement (DSE) saat boot.
Perlu diperhatikan bahwa versi malware sebelumnya ditemukan “ menginstal driver kernel yang digunakan bot sebagai rootkit, dan membuat perubahan lain yang melemahkan postur keamanan host yang terinfeksi.”
Kampanye Glupteba yang muncul kembali pada tahun 2023 digambarkan sebagai kampanye yang meluas dan memengaruhi berbagai wilayah dan industri yang tersebar di berbagai negara seperti Yunani, Nepal, Bangladesh, Brasil, Korea, Aljazair, Ukraina, Slovakia, Turki, Italia, dan Swedia.
“Malware Glupteba terus menonjol sebagai contoh penting dari kompleksitas dan kemampuan beradaptasi yang ditunjukkan oleh penjahat dunia maya modern,” kata para peneliti.
“Identifikasi teknik bypass UEFI yang tidak terdokumentasi dalam Glupteba menggarisbawahi kapasitas inovasi dan penghindaran malware ini. Selain itu, dengan perannya dalam mendistribusikan Glupteba, ekosistem PPI menyoroti strategi kolaborasi dan monetisasi yang digunakan oleh penjahat dunia maya dalam upaya mereka untuk melakukan infeksi massal.”