Gli hacker inviano bitcoin assieme a dati OP_RETURN maligni attraverso il wallet Electrum.
Ricercatori di cybersecurity hanno scoperto una nuova versione del malware denominato Glupteba che utilizza la blockchain Bitcoin per assicurarsi la sopravvivenza.
Un recente articolo pubblicato sul blog di TrendMicro analizza una versione del virus prima sconosciuta che è in grado di invadere sistemi operativi per minare la criptovaluta monero e rubare dati sensibili dai browser, quali password e cookies.
Analisti confermano che questa versione di Glupteba utilizza una conosciuta vulnerabilità nei router MicroTik che trasforma la macchina bersaglio in un proxy SOCKS in grado di mettere in campo un attacco spam diretto a utenti Instagram.
Gli hacker trasferiscono Bitcoin con Electrum per mantenere Glupteba online
Le infezioni da malware tipicamente funzionano così: una macchina bersaglio viene colpita da un “attacco di malvertising”, che forza il download di un “dropper” Glupteba.
Il dropper comincia a colpire la macchina con diversi rootkit, backdoor e altri malware presi da GitHub. In seguito fa le solite operazioni di un malware, come controllare la presenza di programmi antivirus, aggiungere regole malevole al firewall e includere se stesso nelle whitelist della vittima.
La cosa interessante tuttavia è che questo malware utilizza Bitcoin per aggiornarsi in maniera automatica, assicurandosi così un funzionamento senza intoppi anche qualora un software antivirus dovesse bloccare la sua connessione ai server di comando e controllo (C&C) remoti gestiti dagli hacker.
Secondo i ricercatori di TrendMicro, i dropper Glupteba prima inviano transazioni bitcoin attraverso il wallet Electrum, la cui recente Hard Fork lo ha reso vulnerabile ad una prolifica campagna di phishing.
Il malware, che è stato programmato con una stringa ScriptHash hardcoded, trova poi una strada verso una lista pubblica di server Electrum per trovare ogni transazione fatta dagli hacker.
Sepolti in quella lista si trovano dati OP_RETURN all’apparenza innocenti che però contengono un dominio C&C criptato. La stringa ScriptHash viene quindi utilizzata per decriptare quei dati.
“Questa tecnica rende molto più semplice per i malintenzionati sostituire i server C&C”, dichiara TrendMicro. “Se perdono il controllo di un server C&C per qualsiasi ragione, devono semplicemente aggiungere un nuovo script Bitcoin e le macchine infette ottengono un nuovo server C&C decriptando i dati dello script e si riconnettono”.
Per proteggersi contro minacce innovative come Glupteba è assolutamente necessario non cliccare su link o e-mail sospette, assicurarsi che il firmware del proprio router sia sempre aggiornato così come il proprio antivirus.