Дослідники антивірусної компанії TrendMicro виявили новий різновид шкідливого програмного забезпечення Glupteba. Воно використовує незвичний підхід аби залишатися небезпечним. Адже життя в ньому підтримується за допомогою головної криптовалюти планети – Bitcoin.
Glupteba є звичайним шкідливим програмним забезпеченням, яке захоплює комп’ютери та інші девайси, включаючи роутери Wi-Fi для видобування криптовалюти Monero. Додатково воно краде приватні дані з браузерів, включаючи паролі та файли кукіс.
Glupteba захоплює жертву якимось традиційним способом, наприклад, змусивши людину перейти по посиланню та скачати і запустити заражений файл. Потім цей модуль скачує інші блоки – руткіти, чорні ходи тощо з серверів GitHub. Після цього Glupteba виконує інші звичні справи шкідливого програмного забезпечення – перевіряє наявність антивірусних програм, поміщає себе у білий список антивірусу, додає себе у виключення файрволу.
Зазвичай таке шкідливе програмне забезпечення отримує команди від спеціальних серверів, якими керують зловмисники. Заблокувавши доступ до цих серверів можна знешкодити «заразу».
Новий різновид Glupteba продовжує працювати навіть після блокування доступу до серверів з інструкціями. Для отримання інструкцій та апдейтів шкідник використовує Bitcoin. Програма спершу здійснює транзакцію у цій криптовалюті через гаманець Electrum Bitcoin. Вийшовши на сервери Electrum додаток починає сканувати кожну транзакцію у пошуках інструкцій від господаря. Причому для стороннього спостерігача ці інструкції не виглядають загрозливо. Всередині міститься команда перейти на новий командний сервер та його адреса в інтернеті.
