◻️ پس از انتشار گسترده بدافزار Glupteba با استفاده از EternalBlue و نصب ماینر Monero، عوامل Glupteba همچنان در حال توسعه و بهبود آن هستند.
طی بررسیهای انجام شده روی نسخههای جدید، مشخص گردید، این بدافزار، جهت پنهان کردن سرور C&C خود و همچنین تسهیل بهروزرسانی، از تراکنشهای بیتکوین استفاده کرده و با گنجاندن اطلاعات به صورت رمز شده در مولفه OP_RETURN تراکنشها، توسعه دهندگان بدافزار در صورت نیاز، میتوانند با ایجاد یک تراکنش، آدرس C&C جدید را جایگزین کنند.
بخش Dropper که به زبان Go نوشته شده، پس از اجرا با استفاده از متدهای دور زدن UAC و افزایش سطح دسترسی خود، با غیر فعال کردن PatchGuard و Driver Signing Enforcement سعی بر لود کردن درایورهای rootkit جهت مخفی کردن فایلها و پروسهها دارد.
دو جزء دانلود شده توسط Dropper شامل دو بخش کلی میشود.
۱- سرقت اطلاعات حساس مرورگر، حاوی گذرواژهها، کوکیها و تاریخچه مرورگرهای Chrome, Opera و Yandex
۲- اکسپلویت روترهای میکروتیک با سوء استفاده از آسیبپذیری با شناسه CVE-2018-14847
بدافزار، پس از اکسپلویت روترها، اقدام به ایجاد socks proxy روی پورت 8291 میکند. هدف اصلی از ایجاد این proxy ارسال ایمیلهای اسپم و یا کرک حسابهای اینستاگرام است.
❗️این بدافزار با استفاده از تبلیغات منتشر میشود.
✅ از منابع نامعتبر فایلی دانلود نکنید و از ابزارهای امنیتی و محصولات معتبر مانند Trend Micro™ Security استفاده کنید.
شبکه اجتماعی آزمایشگاه امنیت وایت لب
