Glupteba恶意软件使用比特币区块链更新C2域

 
Glupteba恶意软件滴管的一个新变种是使用比特币区块链从标记有OP_RETURN脚本操作码的比特币交易中获取命令和控制(C2)服务器域。
Glupteba之前已被Alureon Trojan作为二级有效载荷分发，作为2011年旨在推动点击劫持上下文广告的活动的一部分，以及2014年借助于漏洞利用工具包，将Windigo行动背后的威胁演员推向目标的Windows计算机，正如ESET安全研究团队所发现的那样。
四年后，即2018年，ESET再次发现恶意软件漏斗，同时通过付费安装方案通过恶意活动传播，将所有受感染的计算机添加到攻击者控制的僵尸网络中。
趋势科技最近发现的新版本已经转向恶意广告作为分发手段，除了新添加的比特币区块链C2更新程序之外，它还增加了两个模块，即信息窃取程序和针对本地MikroTik路由器的漏洞利用程序。
从比特币交易中检索C2服务器信息
新变体使用从硬编码比特币地址解析的比特币交易信息，使用设计用于按计划工作或由攻击者触发的discoverDomain函数检索C2服务器地址。
此功能通过使用GitHub上可用的列表枚举Electrum比特币钱包服务器，随后使用硬编码哈希查询“脚本的区块链脚本哈希历史记录”。
在检索所有相关的比特币交易之后，它会在查找标记包含恶意软件的C2服务器域的AES加密数据的OP_RETURN指令时解析所有这些事务。
“这种技术使威胁行动者更换C&C服务器变得更加方便，”趋势科技的研究人员在分析新的Glupteba变种时发现了这一点。
“如果他们因任何原因失去对C&C服务器的控制权，他们只需要添加一个新的比特币脚本，受感染的机器通过解密脚本数据并重新连接来获得新的C&C服务器。
利用路由器，窃取信息，代理恶意流量
一旦它感染了计算机，滴管将开始收集它存储在Windows注册表中的系统信息，这些数据稍后将使用AES密码加密，并通过POST请求上传到恶意软件的C2服务器。
恶意软件还将使用多种方法来提升其使用SYSTEM权限运行的权限，以及旨在检查反恶意软件解决方案的功能，添加扫描排除项和防火墙规则，以及联系C2服务器以检查任何新命令。
Glupteba还具有后门功能，允许攻击者将受感染的机器转换为XMR挖掘机器人，下载和执行文件，截取屏幕截图等。
添加到此新版本的信息窃取程序组件可以收集浏览器配置文件，Cookie和帐户名称，并从Google Chrome，Opera和Yandex网络浏览器中提取已保存的密码，并将所有数据泄露到信息收集中服务器。
Glupteba的路由器开发人员利用旨在针对CVE-2018-14847漏洞的攻击，搜索或攻击它在受害者本地网络上找到的所有MikroTik路由器。成功利用后，路径的管理员凭据将被收集并发送到恶意软件的C2服务器。
“受损的路由器将被配置为SOCKS代理，用于中继恶意流量，与Windows上的Glupteba僵尸网络的最初目的相匹配，”研究人员发现。
包含恶意软件样本哈希，IP地址和域的妥协指标(IOC)的完整列表可作为趋势科技对分发Glupteba滴管的新恶意广告活动的分析附录[PDF]。