0 |
Eset выполнила анализ вредоносной программы Win32/Glupteba, известной как компонент масштабной киберкампании «Операция Windigo». Эксперты установили, что угроза больше не связана с ботнетом Windigo, но ее операторы сохраняют высокую активность.
Специалисты Eset наблюдают за Win32/Glupteba с 2011 г. Первоначально для распространения вредоносной программы использовался буткит TDL4. В 2014 г. Glupteba была обнаружена на зараженных рабочих станциях в составе ботнета Windigo, где отвечала за рассылку спама. В рамках «Операции Windigo» малварь распространялась с помощью набора эксплойтов.
Согласно новому исследованию Eset, в настоящее время Glupteba больше не использует инфраструктуру Windigo. Вредоносная программа стала частью собственного ботнета и распространяется посредством MSIL/Adware.CsdiMonetize.AG — программы, доставляющей различные семейства вредоносного ПО с оплатой за число установок (Pay-Per-Install).
Анализ новых образцов Glupteba установил, что вредонос был переписан с нуля. Если прежде Glupteba был сравнительно небольшим и простым, то сейчас это объемная и сложная программа. Ранее Glupteba поддерживала около 70 функций, а сейчас — больше 3600.
Изменилась область применения вредоносной программы. В составе своего ботнета Glupteba не только генерирует спам, но и используется в качестве прокси различными автоматизированными системами. По мнению специалистов Eset, операторы Glupteba предлагают ее как сервис третьим лицам. Кроме того, Glupteba замечена в атаках, основанных на повторном использовании пароля — малварь обеспечивает некоторую анонимность злоумышленникам.
По данным телеметрии Eset, с начала 2017 г. активность Glupteba зафиксирована в 180 странах. 25% обнаружений вредоносной программы приходится на Россию, Украину и Турцию.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |