Исследователи в области кибербезопасности обнаружили новый штамм вредоносного ПО – Glupteba, использующего цепочку блоков Bitcoin, утверждая, что он очень опасен. В последнем блоге TrendMicro подробно описан вариант ПО, который способен проникать в системы для майнинга криптовалюты Monero и кражи конфиденциальных данных браузера, таких как пароли и cookie.
Инфекция обычно работает так: целевая машина сначала подвергается «атаке вредоносной рекламы», которая вынуждает ее загружать «
дроппер» Glupteba.
Примечательно, что эта вредоносная программа использует блокчейн Bitcoin для автоматического обновления, обеспечивая бесперебойную работу, даже если антивирусное программное обеспечение блокирует соединение с удаленными серверами управления и контроля (C&C). Злоумышленники перемещают биткоины, зараженные вредоносными данными, через кошелек Electrum.
Вредоносная программа, запрограммированная с помощью надежно закодированной строки ScriptHash пробирается через общедоступный список серверов Electrum, чтобы найти каждую транзакцию, совершенную злоумышленником.
В этих транзакциях скрыты, казалось бы, невинные данные OP_RETURN, которые содержат зашифрованный домен C&C. Строка ScriptHash затем используется для расшифровки этих данных.
«Этот метод упрощает для мошенников замену серверов C&C. Если по какой-либо причине они теряют контроль над сервером C & C, им попросту нужно добавить новый биткоин-скрипт, и зараженные машины получат новый сервер C&C, расшифровав данные сценария и повторно подключившись», – отметили в TrendMicro.
Источник
