Компания ESET — лидер в области информационной безопасности — исследовала активность вредоносной программы Win32/Glupteba, которая ранее использовалась как один из компонентов для осуществления кибератак под названием «Operation Windigo». Согласно данным анализа специалистов ESET, Glupteba больше не распространяется через инфраструктуру Windigo.
Вредоносная программа Glupteba теперь является частью собственного ботнета и распространяется с помощью угрозы MSIL/Adware.CsdiMonetize.AG. Последняя используется для установки многих различных семейств вредоносных программ по схеме «Pay-Per-Install», в частности рекламного программного обеспечения, агента по добыче криптовалюты Bitcoin и различных нежелательных приложений. Однако MSIL/Adware.CsdiMonetize.AG напрямую не устанавливает Glupteba.AY. Вначале на компьютер жертвы попадает загрузчик, который отвечает за внесение бота к командному (C&C) серверу, добавление исключений в Windows Defender и брандмауэра Windows, а также настройки среды для установления Glupteba.
Согласно данным телеметрии ESET, с начала 2017 Glupteba была обнаружена в 180 различных странах. Около 25% всех выявленных образцов приходится на Украину, Российскую Федерацию и Турцию.
Исследователи ESET отслеживают Glupteba в течение последних семи лет. За время своего существования Glupteba использовала различные способы распространения.
В рамках кибератак, которые получили название «Operation Windigo», киберпреступники использовали Glupteba для отправки спама жертвам. Однако теперь Glupteba больше не ограничивается рассылкой спам-сообщений жертвам. В настоящее время угроза в основном используется различными автоматизированными системами. По мнению специалистов ESET, Glupteba продается сторонним пользователям как прокси-сервис.
Кроме отправки спам-сообщений жертвам, Glupteba теперь применяется для атак на аккаунты пользователей, которые используют одинаковые пароли для многих учетных записей.
Еще одним отличием от распространения в рамках «Operation Windigo» является то, что работа со спамом проходит прямо через прокси. Отличается также и само содержание спам-сообщений.
Кроме этого, специалисты ESET обратили внимание на командные (C&C) серверы Glupteba. Ни один из обнаруженных IP-адресов не совпадал с какими-либо ранее известными серверами.
В итоге, вместо использования инфраструктуры Windigo угроза теперь распространяется через MSIL/Adware.CsdiMonetize.AG.
Учитывая все вышеприведенные факты, специалисты ESET полагают, что Glupteba больше не связана с «Operation Windigo». После разоблачения операции операторы Glupteba начали использовать другие способы распространения собственного вредоносного программного обеспечения во всем мире. Изменение в собственных инструментах и их текущий уровень распространения свидетельствуют о том, что киберпреступники не собираются останавливаться на достигнутом и будут продолжать свою вредоносную деятельность.
Детальный анализ Glupteba и идентификаторы инфицирования доступны для ознакомления по ссылке.