Demanda a los piratas informáticos rusos responsables de la gestión de la botnet
Google dijo el martes que tomó medidas para interrumpir las operaciones de una sofisticada botnet "multicomponente" llamada Glupteba que infectó aproximadamente a más de un millón de computadoras con Windows en todo el mundo y almacenó sus direcciones de servidor de comando y control en la cadena de bloques de Bitcoin como mecanismo de resistencia.
Como parte de los esfuerzos, el Grupo de Análisis de Amenazas (TAG) de Google dijo que se asoció con el Grupo de Investigación de Delitos Cibernéticos durante el año pasado para cancelar alrededor de 63 millones de Google Docs que se observó que habían distribuido el malware, junto con 1.183 cuentas de Google, 908 proyectos en la nube y 870 cuentas de Google Ads que estaban asociadas con su distribución.
Google TAG dijo que trabajó con proveedores de infraestructura de Internet y proveedores de alojamiento, como CloudFlare, para desmantelar el malware eliminando servidores y colocando páginas de advertencia intersticiales frente a los dominios maliciosos.
Paralelamente, el gigante de Internet también anunció una demanda contra dos individuos rusos, Dmitry Starovikov y Alexander Filippov, supuestamente responsables de la gestión de la botnet junto con 15 acusados no identificados, calificando a la empresa como una "moderna encarnación tecnológica y sin fronteras del crimen organizado".
"Glupteba es conocida por robar credenciales de usuario y cookies, extraer criptomonedas en hosts infectados, implementar y operar componentes proxy dirigidos a sistemas Windows y dispositivos IoT", dijeron los investigadores de TAG, Shane Huntley y Luca Nagy, con la botnet observada apuntando a víctimas en todo el mundo, incluidos EE. UU., India, Brasil y el sudeste asiático.
Glupteba fue documentada públicamente por primera vez en 2011 por la empresa eslovaca de seguridad en Internet ESET. El año pasado, la empresa de ciberseguridad Sophos publicó un informe sobre el dropper, señalando que "fue capaz de frustrar continuamente los esfuerzos para eliminarlo de una máquina infectada", y agregó que "Glupteba también adopta una variedad de enfoques para permanecer bajo y evitar ser notado".
Difundida principalmente a través de software de terceros incompleto y sitios de transmisión de películas en línea, la botnet modular se camufla como software gratuito y videos de YouTube que, después de la instalación, se pueden orquestar para aprovechar su acceso ilícito a los dispositivos para recuperar componentes adicionales y promover una serie de esquemas criminales, que incluyen:
• Robar información de cuentas personales y vender el acceso a terceros en un portal llamado "Dont [.] Farm"
• Venta de tarjetas de crédito para facilitar compras fraudulentas de Google Ads y otros servicios de Google
• Vender acceso no autorizado a los dispositivos para su uso como proxies residenciales a través de "AWMProxy [.] Net" para ocultar las actividades de los delincuentes.
• Publicar anuncios emergentes disruptivos en las máquinas comprometidas, y
• Secuestrar la potencia informática de los dispositivos para minar criptomonedas.
Pero, en un interesante giro, en lugar de vender esas credenciales robadas directamente a otros clientes criminales, los operadores de Glupteba empeñaron el acceso a través de máquinas virtuales que estaban precargadas con esas cuentas al iniciar sesión usando los nombres de usuario y contraseñas extraídos en un navegador web.
"Los clientes de Dont.farm pagan a Glupteba Enterprise a cambio de la posibilidad de acceder a un navegador que ya está conectado a la cuenta de Google robada de la víctima", alegó la compañía. "Una vez que se le otorga acceso a la cuenta, el cliente de Dont [.] Farm tiene rienda suelta para usar esa cuenta como lo desee, incluida la compra de anuncios y el lanzamiento de campañas publicitarias fraudulentas, todo sin el conocimiento o la autorización del verdadero propietario de la cuenta".
Los módulos descargados, además de incorporar medidas para mantenerlos invisibles a la detección por parte de las soluciones antivirus, están diseñados para ejecutar comandos arbitrarios empujados por un servidor controlado por un atacante. Glupteba también se destaca por el hecho de que, a diferencia de otras botnets tradicionales, el malware aprovecha la cadena de bloques de Bitcoin como un sistema de respaldo de comando y control (C2).
Específicamente, en lugar de depender únicamente de una lista de dominios predeterminados y desechables, ya sea codificados en el malware u obtenidos mediante un algoritmo de generación de dominios (DGA), el malware está programado para buscar en la cadena de bloques pública de Bitcoin transacciones que involucren tres direcciones de billetera propiedad del actor de la amenaza para obtener la dirección cifrada del servidor C2.
"Desafortunadamente, el uso por Glupteba de la tecnología blockchain como mecanismo de resiliencia es notable aquí y se está convirtiendo en una práctica más común entre las organizaciones de delitos cibernéticos", dijeron Royal Hansen y Halimah DeLaine Prado de Google. "La naturaleza descentralizada de blockchain permite que la botnet se recupere más rápidamente de las interrupciones, lo que hace que sea mucho más difícil desbaratarlas".
Además, el gigante tecnológico explicó en su demanda que la banda de ciberdelincuentes mantenía una presencia en línea en "Voltronwork [.] Com" para reclutar activamente desarrolladores mediante ofertas de trabajo en Google Ads para "respaldar sus sitios web, transacciones y operación general".
La medida legal también se produce un día después de que Microsoft revelara que había confiscado 42 dominios utilizados por el grupo de piratería Nickel con sede en China (también conocido como APT15, Bronze Palace, Ke3Chang, Mirage, Playful Dragon y Vixen Panda) para apuntar a servidores que pertenecen a agencias gubernamentales, grupos de expertos y organizaciones de derechos humanos en los EE. UU. y otros 28 países en todo el mundo.
