L’azione di Glupteba è ben descritta nel report di SophosLabs pubblicato oggi (link alla versione integrale a fondo articolo). Il bot crea backdoor in grado di conferire pieno controllo dei dispositivi infettati aggiungendoli a una botnet in continua crescita. La sua diffusione avviene tramite ad injection su siti Web anche legittimi dando così il via alla distribuzione di browser stealer o router exploiter.

Il report di SophosLabs su Glupteba

Tutto questo con accorgimenti per eludere i sistemi di sicurezza e mettere a segno gli attacchi senza destare sospetti nelle vittime colpite. Tra le conseguenze dell’azione del codice malevolo l’installazione di rootkit, la sottrazione di informazioni del browser (cookie, cronologia di navigazione e credenziali) inviate a un server di comando e controllo, l’inoltro di richieste per l’aggiunta delle proprie componenti proxy, l’estrapolazione di dati in merito al dispositivo (configurazioni memorizzate, build del sistema operativo, numero di serie della scheda madre, indirizzo MAC, numero di serie del disco, data di installazione ecc.) e la compromissione dei router vulnerabili. Queste le parole di Luca Nagy, Security Researcher e autore del report.

I più astuti cybercryminali progettano il loro malware in modo da farlo passare assolutamente inosservato. Per farlo, raccolgono il maggior numero di informazioni per impostare le proprie mosse e affinare le loro tecniche. Mentre analizzavamo Glupteba, ci siamo resi conto che gli hacker che gestiscono il bot investono una grande quantità di tempo ed energie per l’autodifesa. Inoltre, Glupteba è stato progettato per essere generico, in grado di implementare una vasta gamma di diverse attività dannose attraverso i suoi diversi componenti e le sue ampie funzioni di backdoor.

Talvolta si può inciampare in Glupteba anche nelle pagine che propongono download illegali, come dimostra lo screenshot qui sopra, condiviso da SophosLabs per spiegare come il malware sia stato individuato in alcuni siti che propongono pacchetti di software piratati.

I suoi autori hanno adottato diverse tecniche per evitare il rilevamento: utilizzo di file Watchers per monitorarne continuamente le prestazioni ed evitare errori potenzialmente in grado di innescare un allarme, l’aggiunta alle liste di esclusione dei Windows Defender, camouflage dei processi malevoli e utilizzo di una blokchain per aggiornare gli indirizzi dei server di comando e controllo.