Переустановка операционной системы уже не поможет. Новые функции Glubteba стали устойчивее за счет активного UEFI-буткита

Пост опубликован в блогах iXBT.com, его автор не имеет отношения к редакции iXBT.com

Некогда известный ботнет Glupteba приобрел новую функцию UEFI-буткита, благодаря которой выдерживает защиту антивирусов и почти не определяется «защитниками» системы. Вредоносное ПО теперь способно встраиваться в процессы загрузки ОС и скрываться до того момента, когда оно не потребуется. При этом большая часть антивирусов будет просто бесполезна для обнаружения, лечения или удаления.


Автор: @kandinsky21_bot

Многофункциональный вредонос Glupteba не только ворует личную информацию пользователя, но и полезен для майнинга на устройствах, кражи банковских данных, учетных записей, он способен крутить рекламу и даже атаковать удаленные роутеры для получения доступа к соседним сетям. В некоторых версиях Glupteba можно встретить блокчейн Bitcoin и резервный канал для управления, поэтому его довольно сложно локализовать и заблокировать.

Вредонос Glupteba распространяется несколькими цепями, что почти сводит на нет все попытки обнаружения антивирусными средствами. К примеру, это могут быть сервисы с получением оплаты за установку (pay-per-install) или через пиратский PrivateLoader, когда на устройство жертвы устанавливался еще и SmokeLoader, который, в свою очередь, подгружает RedLine Stealer и Amadey, со всеми вытекающими последствиями.

Заражение происходит по цепочке, которую можно увидеть ниже.

Источник: unit42.paloaltonetworks.com

Несмотря на высокую защиту от антивирусных средств, разработчики смогли поработать еще и над UEFI-загрузчиком, который используется через EfiGuard, в свою очередь, отключает возможности проверки подписи драйверов при загрузке. В ранних версиях Glubteba действовал по другой схеме. Подгружалось ядро драйвера руткита и ботнет, воздействующий на защиту, зараженного устройства.

С каждой версией Glubteba все больше развивается и получает новые функции скрывающие ее действия. Это на руку киберпреступникам, потому как с появлением UEFI открываются новые возможности распространения вредоносного программного обеспечения и обхода блокировок со стороны защитных средств. А использование систем PPI дает возможности для широкого распространения среди пользователей и запуска монетизации при массовом заражении гаджетов.