Меню
Поиск

Google атаковала инфраструктуру ботнета Glupteba

10 декабрь, 2021 - 18:05

Google атаковала инфраструктуру ботнета Glupteba

Группа анализа угроз (Threat Analysis Group, TAG) компании Google в этот вторник рассказала о новых мерах, предпринятых для блокирования работы многокомпонентного ботнета Glupteba, который нацелен на компьютеры под управлением Windows.

Glupteba занимается майнингом криптовалюты на инфицированных хостах, крадёт учётные данные пользователей и файлы cookie, развертывает и эксплуатирует прокси-компоненты, нацеленные на системы Windows и устройства IoT.

Семейство вредоносных программ Glupteba в основном распространяется через сети с оплатой за установку (PPI) и через трафик, приобретаемый в системах распределения трафика (TDS). Этот ботнет использует HTTPS для передачи команд и двоичных обновлений между управляющими серверами и зараженными системами. В случае, если основные серверы C2 не отвечают, заражённые системы могут извлекать резервные домены, зашифрованные в последней транзакции с нескольких адресов биткойн-кошельков.

Этот ботнет находит жертв по всему миру, включая США, Индию, Бразилию и Юго-Восточную Азию. TAG наблюдала тысячи вредоносных загрузок Glupteba в день с веб-страниц, выдающих себя за библиотеки взломанного программного обеспечения.

В процессе анализа двоичных файлов Glupteba команда Google обнаружила URL-адрес GIT-репозитория «git.voltronwork.com». Эта находка позволила с высокой достоверностью идентифицировать несколько онлайн-сервисов, предлагаемых людьми, которые контролируют ботнет Glupteba.

Чтобы остановить деятельность Glupteba, связанную с сервисами Google, за прошлый год TAG вместе с группой расследования киберпреступлений (Google CyberCrime Investigation Group) закрыла около 63 млн файлов Google Doc, 1183 аккаунта Google, 908 облачных проектов и 870 аккаунтов Google Ads, вовлечённых в распространение вредоносного ПО Glupteba. Кроме того, 3,5 млн пользователей были предупреждены перед загрузкой вредоносного файла с помощью службы Google Safe Browsing.

За последние несколько дней TAG в партнёрстве с провайдерами интернет-инфраструктуры и хостинга, включая Cloudflare, нанесла удар по инфраструктуре Glupteba, отключив серверы и разместив предупреждающие межстраничные страницы перед вредоносными доменными именами. За это время было закрыто еще 130 аккаунтов Google, связанных с Glupteba.

Параллельно с этим Google подала иск против двух лиц, предположительно находящихся в России, за участие в работе ботнета Glupteba и его различных преступных схем.

Маловероятно, что эти действия смогут полностью остановить Glupteba, тем не менее, по оценке TAG, они существенно ограничат возможность операторов обеспечить дальнейшее функционирование ботнета.