- Регистрация
- 23 Янв 2019
- Сообщения
- 1,351
- Баллы
- 0
- Общие продажи
- 0$
- Общие покупки
- 0$
Недавно узнал одну новость о новом вирусе и хочу поделиться тем, что я изучил касаемо всей проблемы.
Дроппер Glupteba и бэкдор-троян способны управлять и контролировать домены, отслеживая биткоин-транзакции. Наряду с этим дроппер Glupteba добавляет ещё два компонента к системным уязвимостям браузера - эксплойт и эксплойт роутера. Похититель браузера получает доступ к истории посещений пользователя, а также к файлам cookie, именам учетных записей и паролям из таких браузеров, как Chrome, Opera и Яндекс. Пока всё это происходит, эксплойт маршрутизатора использует уязвимость MikroTik RouterOS, которая позволяет злоумышленникам записывать произвольные файлы.
Функциональность обновления C&C Glupteba заслуживает особого внимания. Вредоносное ПО использует функцию DiscoverDomain, которая предназначена для серверов биткоин-кошельков Electrum, используя общедоступный список. Оно пытается получить доступ к истории хеш-скрипта блокчейнов с помощью жёстко закодированного хеша, что обеспечивает всю историю связанных транзакций.
Эта версия Glupteba была распространена в рамках рекламной кампании, направленной на файлообменные сайты. В случае, если вредоносная программа по какой-либо причине теряет контроль над сервером C&C, добавляется новый биткоин-скрипт, и заражённая машина получает новый сервер, который формируется путем дешифрования данных скрипта и повторного подключения.
Дроппер Glupteba и бэкдор-троян способны управлять и контролировать домены, отслеживая биткоин-транзакции. Наряду с этим дроппер Glupteba добавляет ещё два компонента к системным уязвимостям браузера - эксплойт и эксплойт роутера. Похититель браузера получает доступ к истории посещений пользователя, а также к файлам cookie, именам учетных записей и паролям из таких браузеров, как Chrome, Opera и Яндекс. Пока всё это происходит, эксплойт маршрутизатора использует уязвимость MikroTik RouterOS, которая позволяет злоумышленникам записывать произвольные файлы.
Функциональность обновления C&C Glupteba заслуживает особого внимания. Вредоносное ПО использует функцию DiscoverDomain, которая предназначена для серверов биткоин-кошельков Electrum, используя общедоступный список. Оно пытается получить доступ к истории хеш-скрипта блокчейнов с помощью жёстко закодированного хеша, что обеспечивает всю историю связанных транзакций.
Эта версия Glupteba была распространена в рамках рекламной кампании, направленной на файлообменные сайты. В случае, если вредоносная программа по какой-либо причине теряет контроль над сервером C&C, добавляется новый биткоин-скрипт, и заражённая машина получает новый сервер, который формируется путем дешифрования данных скрипта и повторного подключения.
