Исследователи антивирусной компании TrendMicro обнаружили новый вид вредоносного программного обеспечения Glupteba. Оно использует необычный подход чтобы оставаться опасным. Ведь жизнь в нем поддерживается с помощью главной криптовалюты планеты — Bitcoin.
Glupteba является обычным вредоносным программным обеспечением, которое захватывает компьютеры и прочие девайсы, включая роутеры Wi-Fi для добычи криптовалюти Monero. Дополнительно оно крадет частные данные из браузеров, включая пароли и файлы кукис.
Glupteba захватывает жертву каким-то традиционным способом, например, заставив человека перейти по ссылке и скачать и запустить зараженный файл. Потом этот модуль скачивает другие блоки – руткиты, черные ходы и т. п. с серверов GitHub. После этого Glupteba выполняет другие привычные дела вредоносного программного обеспечения – проверяет наличие антивирусных программ, помещает себя в белый список антивируса, добавляет себя в исключения файрвола.
Обычно такое вредоносное программное обеспечение получает команды от специальных серверов, которыми управляют злоумышленники. Заблокировав доступ к этим серверам можно обезвредить «заразу».
Новый разновидность Glupteba продолжает работать даже после блокировки доступа к серверам с инструкциями. Для получения инструкций и апдейтов вредитель использует Bitcoin. Программа сначала осуществляет транзакцию в этой криптовалюте через кошелек Electrum Bitcoin. Выйдя на сервера Electrum приложение начинает сканировать каждую транзакцию в поисках инструкций от хозяина. Причем для стороннего наблюдателя эти инструкции не выглядят угрожающе. Внутри содержится команда перейти на новый командный сервер и его адрес в интернете.