Il a été découvert que le botnet Glupteba intègre une fonctionnalité de kit de démarrage UEFI (Unified Extensible Firmware Interface ) jusqu’alors non documentée, ajoutant une autre couche de sophistication et de furtivité au malware.

“Ce bootkit peut intervenir et contrôler le processus de démarrage [du système d’exploitation], permettant à Glupteba de se cacher et de créer une persistance furtive qui peut être extrêmement difficile à détecter et à supprimer”, ont déclaré Lior Rochberger et Dan Yashnik, chercheurs de l’unité 42 de Palo Alto Networks . Analyse du lundi.

Glupteba est un voleur d’informations complet et une porte dérobée capable de faciliter l’extraction illicite de crypto-monnaie et de déployer des composants proxy sur des hôtes infectés. Il est également connu pour exploiter la blockchain Bitcoin comme système de commande et de contrôle (C2) de secours, ce qui la rend résistante aux efforts de retrait .

Certaines des autres fonctions lui permettent de fournir des charges utiles supplémentaires, de siphonner les informations d’identification et les données de carte de crédit, de procéder à des fraudes publicitaires et même d’exploiter des routeurs pour obtenir des informations d’identification et un accès administratif à distance.

Au cours de la dernière décennie, les logiciels malveillants modulaires se sont métamorphosés en une menace sophistiquée employant des chaînes d’infection élaborées à plusieurs étapes pour contourner la détection par les solutions de sécurité.

Une campagne de novembre 2023 observée par la société de cybersécurité implique l’utilisation de services de paiement à l’installation (PPI) tels que Ruzki pour distribuer Glupteba. En septembre 2022, Sekoia a lié Ruzki à des clusters d’activités, en utilisant PrivateLoader comme canal pour propager les logiciels malveillants de niveau supérieur.

Cela prend la forme d’attaques de phishing à grande échelle dans lesquelles PrivateLoader est livré sous couvert de fichiers d’installation de logiciels piratés, qui charge ensuite SmokeLoader qui, à son tour, lance RedLine Stealer et Amadey, ce dernier abandonnant finalement Glupteba.

“Les acteurs malveillants distribuent souvent Glupteba dans le cadre d’une chaîne d’infection complexe propageant plusieurs familles de logiciels malveillants en même temps”, ont expliqué les chercheurs. “Cette chaîne d’infection commence souvent par une infection PrivateLoader ou SmokeLoader qui charge d’autres familles de logiciels malveillants, puis charge Glupteba.”

Signe que le malware est activement maintenu, Glupteba est équipé d’un kit de démarrage UEFI en incorporant une version modifiée d’un projet open source appelé EfiGuard , capable de désactiver PatchGuard et Driver Signature Enforcement (DSE) au moment du démarrage.

Il convient de souligner que les versions précédentes du malware « installaient un pilote de noyau que le bot utilise comme rootkit et apportaient d’autres modifications qui affaiblissaient la sécurité d’un hôte infecté».

La campagne de Glupteba qui a refait surface en 2023 a été décrite comme étant répandue et affectant plusieurs régions et industries réparties dans des pays aussi variés que la Grèce, le Népal, le Bangladesh, le Brésil, la Corée, l’Algérie, l’Ukraine, la Slovaquie, la Turquie, l’Italie et la Suède.

“Le malware Glupteba continue de se démarquer comme un exemple notable de la complexité et de l’adaptabilité dont font preuve les cybercriminels modernes”, ont déclaré les chercheurs.

« L’identification d’une technique de contournement UEFI non documentée au sein de Glupteba souligne la capacité d’innovation et d’évasion de ce malware. De plus, avec son rôle dans la distribution de Glupteba, l’écosystème PPI met en évidence les stratégies de collaboration et de monétisation employées par les cybercriminels dans leurs tentatives d’infections massives.