Sophos publicó un informe sobre una familia de malware cuyos números de infección han aumentado constantemente desde principios de año. Este malware ha estado recibiendo actualizaciones periódicas y mejoras de características que parecen centrarse en su capacidad para ocultarse de la detección en computadoras infectadas.
El informe profundizó en lo que hace distintivo al malware Glupteba. El malware principal es, en esencia, un cuentagotas con una amplia funcionalidad de puerta trasera, pero es un cuentagotas que realiza grandes esfuerzos para mantenerse y sus diversos componentes, ocultos a la vista del operador humano de una computadora infectada o el software de seguridad. acusado de su protección.
Para realizar estas tareas, los creadores de Glupteba han optado por adoptar un enfoque modular para su malware, que puede descargar y ejecutar cargas útiles destinadas a ampliar la funcionalidad del bot. Muchas de estas cargas útiles son scripts de explotación y binarios que se originan en repositorios de herramientas de código abierto, como Github, y han sido retirados de sus archivos para ser utilizados en la computadora de la víctima.
Una de las formas en que el malware Glupteba usa estos exploits es para la escalada de privilegios, principalmente para que pueda instalar un controlador de kernel que el bot usa como rootkit y realizar otros cambios que debiliten la postura de seguridad de un host infectado. El rootkit hace que el comportamiento del sistema de archivos sea invisible para el usuario final de la computadora y también protege cualquier otro archivo que el malware decida almacenar en su directorio de aplicaciones. Luego, un proceso de monitor supervisa el rootkit y otros componentes para detectar cualquier signo de falla o bloqueo, y puede reinicializar el controlador de rootkit o reiniciar un componente defectuoso.
Ese proceso de observación también se utiliza para entregar una sorprendente cantidad de telemetría de informe de errores a los creadores de Glupteba. Después de todo, un bloqueo de la aplicación es un evento muy notable, y si el objetivo del malware es mantener su sigilo, entonces evitar bloqueos es de suma importancia.
El malware también utiliza el Registro de Windows a su favor, almacenando muchas de sus opciones de configuración bajo nombres de clave de Registro discretos. Los nombres de algunos de estos valores de configuración también proporcionan una pista sobre los objetivos generales de Glupteba. Por ejemplo, el bot almacena los nombres de sus servidores de comando y control bajo una clave etiquetada como «CDN», un término de arte en la industria de alojamiento que se refiere a una red de entrega de contenido, un tipo de negocio que almacena en caché los datos solicitados con frecuencia para que una gran población pueda recuperarlos más rápidamente.
Sophos puede inferir que la propensión del bot a la autoprotección y el sigilo, y esta etiqueta de CDN, que los creadores de Glupteba pretenden que este malware sea parte de una oferta de servicios a otros editores de malware, dándoles un modelo comercial de pago por instalación para la entrega de malware .
“Los actores de amenazas más inescrupulosos diseñan su malware para ser sigiloso. Esto significa que se esfuerzan por permanecer fuera del radar y permanecer en la naturaleza durante mucho tiempo, realizando reconocimientos y recolectando información para determinar su próximo movimiento y perfeccionar sus técnicas maliciosas. Mientras investigábamos Glupteba, nos dimos cuenta de que los actores detrás del robot están invirtiendo un esfuerzo inmenso en defensa propia. Los equipos de seguridad deben estar atentos a este comportamiento. Además, Glupteba está diseñado para ser genérico, capaz de implementar una amplia gama de diferentes actividades maliciosas a través de sus diferentes componentes y amplias funciones de puerta trasera ”, dijo Luca Nagy, investigador de seguridad de Sophos y autor principal del informe.