Eset виконала аналіз шкідливої програми Win32/Glupteba, відомої як компонент масштабної кіберкампанії.
Eset виконала аналіз шкідливої програми Win32/Glupteba, відомої як компонент масштабної кіберкампанії Операція Windigo
Eset виконала аналіз шкідливої програми Win32/Glupteba, відомої як компонент масштабної кіберкампанії Операція Windigo. Експерти встановили, що загроза більше не пов'язана із ботнетом Windigo, але її оператори зберігають високу активність.
Фахівці Eset спостерігають за Win32/Glupteba з 2011 року. Спочатку для поширення шкідливої програми використовувався буткіт TDL4. У 2014 році Glupteba була виявлена на заражених робочих станціях у складі ботнету Windigo, де відповідала за розсилку спаму. У рамках «Операції Windigo» малеча поширювалася за допомогою набору експлойтів.
Згідно з новим дослідженням Eset, в даний час Glupteba більше не використовує інфраструктуру Windigo. Шкідлива програма стала частиною власного ботнета і розповсюджується за допомогою MSIL/Adware.CsdiMonetize.AG – програми, що доставляє різні сімейства шкідливого програмного забезпечення з оплатою за число установок (Pay-Per-Install).
Аналіз нових зразків Glupteba встановив, що малечу було переписано з нуля. Якщо раніше Glupteba була порівняно невеликою та простою, то зараз це об'ємна та складна програма. Раніше Glupteba підтримувала близько 70 функцій, а зараз більше 3600.
Змінилася сфера застосування шкідливої програми. У складі свого ботнета Glupteba не тільки генерує спам, але й використовується як проксі різними автоматизованими системами. На думку фахівців Eset оператори Glupteba пропонують її як сервіс третім особам. Крім того, Glupteba помічена в атаках, заснованих на повторному використанні пароля – малварь забезпечує деяку анонімність зловмисникам.
За даними телеметрії Eset, з початку 2017 року активність Glupteba зафіксована у 180 країнах. 25% виявлень шкідливої програми припадає на Росію, Україну та Туреччину.
Розробка з нуля та новий спосіб розповсюдження показують, що оператори Glupteba зберігають високу активність, хоча й змінили тактику після виявлення Операції Windigo. Зусилля зловмисників підтверджують, що ринок проксі-сервісів залишається дуже прибутковим і Glupteba збереже активність у найближчому майбутньому.