Хакеры используют блокчейн биткоина для удалённой отправки команд вредоносному ПО

Хакеры пользуются блокчейном биткоина для скрытого обмена сообщениями между своим ПО и командным центром, удалось выяснить исследователям из компании Sophos Labs.

Речь идёт о вредоносном ПО Glupteba, «которое использует почти все известные уловки киберпреступников и, возможно, ещё несколько». Glupteba является разновидностью бота, который может дистанционно контролироваться своими создателями. Также он содержит в себе руткит для сокрытия следов присутствия, подавитель безопасности для отключения «Защитника Windows» и антивирусного ПО, вирус для автоматического распространения, инструменты атаки роутеров, инструменты для кражи данных из браузеров и скрытый майнер.

Наибольший интерес, однако, представляет выбор блокчейна биткоина в качестве канала для коммуникаций, через который поступают обновления конфигурации.

«Glupteba пользуется тем фактом, что транзакции биткоина записываются в публичный блокчейн, данные которого могут быть считаны из большинства сетей. Транзакции биткоина не обязательно должны быть связаны с деньгами. Они могут включать поле “OP_RETURN”, которое, по сути, является комментарием, содержащим до 80 символов», – объясняют Sophos Labs.

Как установили исследователи, рассматриваемые транзакции содержат секретное сообщение, для расшифровки которого требуется специальный ключ, встроенный в Glupteba.

Screenshot_57.png
Пример расшифровки сообщения, скрытого в блокчейне биткоина

«Плохая новость заключается в том, что Glupteba имеет множество защитных компонентов, которые затрудняют его обнаружение в логах безопасности. С другой стороны, эти сложности делают такое ПО менее надёжным и, как ни парадоксально, более доступным для обнаружения в определённый момент», – заключают Sophos Labs.
Комментарии 0