圈小蛙
谷歌周二表示,已采取措施破坏了一个名为Glupteba的复杂“多组件”僵尸网络的运行,该网络大约感染了全球超过一百万台Windows计算机,并将其命令和控制服务器地址存储在比特币的区块链上作为一种弹性机制。
作为努力的一部分,谷歌的威胁分析小组(TAG)表示,在过去的一年里,它与网络犯罪调查小组合作,终止了大约6300万份被观察到分发恶意软件的谷歌文档,以及1183个谷歌账户、908个云项目、和870个与分发相关的Google Ads帐户。
谷歌TAG进一步表示,它与互联网基础设施提供商和托管服务提供商合作,例如CloudFlare,通过关闭服务器和在恶意域名前放置中间警告页面来拆除恶意软件。
与此同时,这家互联网巨头还宣布对两名俄罗斯人Dmitry Starovikov和Alexander Filippov提起诉讼,他们被指控与15名未具名的被告一起负责管理僵尸网络,并称该团伙是“现代技术和无国界的有组织犯罪化身”。”
TAG研究人员Shane Huntley和Luca Nagy说:“众所周知,Glupteba会窃取用户凭据和cookies,在受感染主机上挖掘加密货币,部署和运行针对Windows系统和物联网设备的代理组件。据观察,该僵尸网络的目标是世界各地的受害者,包括美国、印度、巴西和东南亚。“
Glupteba于2011年首次被斯洛伐克互联网安全公司ESET公开记录。去年,网络安全公司Sophos发布了一份关于恶意软件的报告,指出它“能够不断地阻止将其从受感染的机器中删除”,并补充说“Glupteba还采取了各种方法来进行隐藏并避免被注意到。”
模块化僵尸网络主要通过简略的第三方软件和在线电影流媒体网站传播,伪装成免费软件和YouTube视频,安装后可以精心策划利用其对设备的非法访问来检索其他组件,并进一步实施一些犯罪计划,包括——
窃取个人账户信息,并在一个名为“Dont[.]farm”的门户网站上向第三方出售其访问权限
贩卖信用卡以方便从谷歌广告和其他谷歌服务中进行欺诈性购买
通过“AWMProxy[.]net”出售未经授权的设备访问权,可作为代理使用,以掩盖不良行为者的活动
在受感染的机器上提供破坏性的弹出式广告,以及
劫持设备的计算能力来挖掘加密货币
但有趣的是,Glupteba的背后运营团伙并没有将这些被盗的凭据直接出售给其他犯罪客户,而是通过使用Web浏览器上被窃取的用户名和密码登录的预加载了这些帐户的虚拟机进行访问。
“Dont[.]farm的客户向Glupteba企业支付费用,以换取访问已经登录到受害者被盗谷歌账户的浏览器的能力,”该公司声称。“一旦获得该帐户的访问权限,Dont[.]farm客户就可以随意使用该帐户,包括购买广告和发起欺诈性广告活动,所有这些都无需真正的帐户所有者知情或授权。”
下载的模块,除了包含了使其不被反病毒解决方案检测到的措施外,还被设计为执行由攻击者控制的服务器推送的任意命令。Glupteba还值得注意的是,与其他传统僵尸网络不同,该恶意软件利用比特币区块链作为备份指挥和控制(C2)系统。
具体来说,该恶意软件不仅依赖于在恶意软件中硬编码或使用域生成算法(DGA)获得的预定和可支配域列表,还被编程为在公共比特币区块链中搜索涉及三个钱包地址的交易,以便获取加密的C2服务器地址。
谷歌的Royal Hansen和Halimah DeLaine Prado说:“不幸的是,Glupteba使用区块链技术作为一种弹性机制,在这里值得注意,并且正在成为网络犯罪组织中越来越普遍的做法。区块链的去中心化特性使僵尸网络能够更快地从中断中恢复,使它们更难关闭。”
更重要的是,这家科技巨头在其诉讼中解释说,网络犯罪团伙在“Voltronwork[.]com”上保持在线存在,通过谷歌广告上的职位空缺积极招募开发人员,以“支持其网站、交易和整体运营。”