Компанія ESET — лідер у галузі інформаційної безпеки — дослідила активність шкідливої програми Win32/Glupteba, яка раніше використовувалася як один з компонентів для здійснення кібератак під назвою «Operation Windigo». За даними аналізу спеціалістів ESET, Glupteba більше не поширюється через інфраструктуру Windigo.
Шкідлива програма Glupteba тепер є частиною власного ботнету і розповсюджується за допомогою загрози MSIL/Adware.CsdiMonetize.AG. Остання використовується для встановлення багатьох різних сімейств шкідливих програм за схемою «Pay-Per-Install», зокрема рекламного програмного забезпечення, агента з видобутку криптовалюти Bitcoin та різних потенційно небажаних додатків. Однак MSIL/Adware.CsdiMonetize.AG безпосередньо не інсталює Glupteba.AY. Спершу на комп’ютер жертви потрапляє завантажувач, який відповідає за внесення бота до командного (C&C) сервера, додавання винятків до Windows Defender та брандмауера Windows, а також налаштування середовища для встановлення Glupteba.
Відповідно до даних телеметрії ESET, із початку 2017 року Glupteba була виявлена в 180 різних країнах. Близько 25% усіх виявлених зразків припадає на Україну, Російську Федерацію та Туреччину.
Дослідники ESET відстежують Glupteba протягом останніх семи років. За час свого існування Glupteba використовувала різні способи поширення.
У рамках кібератак, які отримали назву «Operation Windigo», кіберзлочинці застосовували Glupteba для надсилання спаму жертвам. Однак тепер Glupteba більше не обмежується розсилкою спам-повідомлень жертвам. На даний час загроза здебільшого використовується різними автоматизованими системами. На думку спеціалістів ESET, Glupteba продається стороннім користувачам як проксі-сервіс.
Крім надсиланням спам-повідомлень жертвам, Glupteba тепер застосовується для атак на акаунти користувачів, які використовують однакові паролі для багатьох облікових записів.
Ще однією відмінністю від поширення в рамках «Operation Windigo» є те, що робота із спамом проходить прямо через проксі. Відрізняється також і сам зміст спам-повідомлень.
Крім цього, спеціалісти ESET звернули увагу на командні (C&C) сервери Glupteba. Жодна з виявлених IP-адрес не збігалася з будь-якими раніше відомими серверами.
Врешті-решт, замість використання інфраструктури Windigo загроза тепер поширюється через MSIL/Adware.CsdiMonetize.AG.
Враховуючи усі вищенаведені факти, спеціалісти ESET вважають, що Glupteba більше не пов'язана з «Operation Windigo». Після викриття операції оператори Glupteba почали використовувати інші способи поширення власного шкідливого програмного забезпечення у всьому світі. Зміна у власних інструментах та їх поточний рівень поширення свідчать про те, що кіберзлочинці не збираються зупинитися на досягнутому та будуть продовжували власну шкідливу діяльність.
Детальний аналіз Glupteba та ідентифікатори інфікування доступні для ознайомлення за посиланням.