La botnet Glupteba ha aggiunto una caratteristica di bootkit UEFI (Unified Extensible Firmware Interface) precedentemente non documentata, aumentando notevolamente la sua capacità di eludere il rilevamento. Questo bootkit interviene nel processo di avvio del sistema operativo, permettendo a Glupteba di nascondersi e mantenere una persistenza difficile da rilevare e rimuovere secondo gli specialisti di Palo Alto.
Caratteristiche e Funzioni di Glupteba
Glupteba è un malware completo, con funzionalità di furto di informazioni e backdoor, che facilita il mining illecito di criptovalute e il dispiegamento di componenti proxy sui dispositivi infetti. Utilizza anche la blockchain Bitcoin come sistema di comando e controllo (C2) di backup, rendendolo resistente agli sforzi di disattivazione.
Tecniche di Distribuzione e Persistenza
Il malware impiega catene di infezione multi-stadio complesse per evitare il rilevamento da parte delle soluzioni di sicurezza, spesso distribuito tramite servizi pay-per-install (PPI) come Ruzki. Glupteba si distingue per l’uso di un bootkit UEFI modificato dal progetto open-source EfiGuard, capace di disabilitare PatchGuard e l’Enforcement della Firma dei Driver (DSE) all’avvio, compromettendo così la sicurezza dell’host infetto.
Implicazioni per la Sicurezza
L’identificazione di una tecnica di bypass UEFI non documentata all’interno di Glupteba sottolinea la capacità di innovazione ed evasione di questo malware. La sua presenza nel sistema PPI evidenzia le strategie di collaborazione e monetizzazione adottate dai criminali informatici per tentare infezioni di massa.
Glupteba continua a essere un esempio notevole della complessità e adattabilità dimostrate dai criminali informatici moderni. Le sue avanzate capacità di evasione richiedono una vigilanza costante e soluzioni di sicurezza aggiornate per contrastare efficacemente questa minaccia in continua evoluzione.