Glupteba evade la detección con un bootkit UEFI no documentado

Se ha descubierto que la botnet Glupteba incorpora una función de bootkit de interfaz de firmware extensible unificada (UEFI) previamente no documentada, lo que agrega otra capa de sofisticación y sigilo al malware.

"Este bootkit puede intervenir y controlar el proceso de arranque [del sistema operativo], lo que permite a Glupteba ocultarse y crear una persistencia sigilosa que puede ser extremadamente difícil de detectar y eliminar", dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Lior Rochberger y Dan Yashnik, en un análisis del lunes.

Glupteba es un ladrón de información con todas las funciones y una puerta trasera capaz de facilitar la minería ilícita de criptomonedas y desplegar componentes proxy en hosts infectados. También se sabe que aprovecha la cadena de bloques de Bitcoin como un sistema de comando y control (C2) de respaldo, lo que la hace resistente a los esfuerzos de derribo.

Algunas de las otras funciones le permiten entregar cargas útiles adicionales, desviar credenciales y datos de tarjetas de crédito, realizar fraudes publicitarios e incluso explotar enrutadores para obtener credenciales y acceso administrativo remoto.

Durante la última década, el malware modular se ha metamorfoseado en una amenaza sofisticada que emplea elaboradas cadenas de infección de varias etapas para eludir la detección por parte de las soluciones de seguridad.

Una campaña de noviembre de 2023 observada por la firma de ciberseguridad implica el uso de servicios de pago por instalación (PPI) como Ruzki para distribuir Glupteba. En septiembre de 2022, Sekoia vinculó Ruzki a los clústeres de actividad, aprovechando PrivateLoader como conducto para propagar el malware de la siguiente etapa.

Esto toma la forma de ataques de phishing a gran escala en los que PrivateLoader se entrega bajo la apariencia de archivos de instalación de software crackeado, que luego carga SmokeLoader que, a su vez, lanza RedLine Stealer y Amadey, y este último finalmente abandona Glupteba.


"Los actores de amenazas a menudo distribuyen Glupteba como parte de una compleja cadena de infección que propaga varias familias de malware al mismo tiempo", explicaron los investigadores. "Esta cadena de infección a menudo comienza con una infección de PrivateLoader o SmokeLoader que carga otras familias de malware y luego carga Glupteba".

En una señal de que el malware se está manteniendo activamente, Glupteba viene equipado con un kit de arranque UEFI al incorporar una versión modificada de un proyecto de código abierto llamado EfiGuard, que es capaz de deshabilitar PatchGuard y Driver Signature Enforcement (DSE) en el momento del arranque.

Vale la pena señalar que se descubrió que las versiones anteriores del malware "instalan un controlador de kernel que el bot usa como rootkit y realizan otros cambios que debilitan la postura de seguridad de un host infectado".

"El malware Glupteba continúa destacándose como un ejemplo notable de la complejidad y adaptabilidad exhibida por los ciberdelincuentes modernos", dijeron los investigadores.

"La identificación de una técnica de omisión UEFI no documentada dentro de Glupteba subraya la capacidad de innovación y evasión de este malware. Además, con su papel en la distribución de Glupteba, el ecosistema PPI destaca las estrategias de colaboración y monetización empleadas por los ciberdelincuentes en sus intentos de infecciones masivas".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta