Glupteba-Botnet versteckt sich mit undokumentiertem UEFI-Bootkit
Das Glupteba-Botnet enthält eine bislang unbekannte Funktion eines Unified-Extensible-Firmware-Interface-(UEFI)-Bootkits. Diese stellt der Malware eine zusätzliche Ebene der Manipulation zur Verfügung. Damit wird das Botnet noch raffinierter und schwerer aufzuspüren.
Laut einer aktuellen Analyse von Forschern der Palo Alto Networks Unit 42 kann dieses Bootkit in den Boot-Prozess des Betriebssystems eingreifen und ihn kontrollieren. Dadurch kann Glupteba sich verstecken und eine heimliche Persistenz schaffen, die äußerst schwer zu erkennen und zu entfernen ist.
Glupteba ist eine voll funktionsfähige Informationsdiebstahl- und Backdoor-Malware, die illegales Mining von Kryptowährungen ermöglicht und Proxy-Komponenten auf infizierten Hosts einsetzt. Außerdem nutzt sie die Bitcoin-Blockchain als Backup-Befehls- und Kontrollsystem (C2), was sie gegenüber Entschärfungsversuchen unempfindlich macht. Weitere Funktionen umfassen das Übermitteln von zusätzlichen Nutzdaten, das Abfangen von Anmeldeinformationen und Kreditkartendaten, Werbebetrug sowie das Ausnutzen von Routern, um Anmeldeinformationen und administrativen Fernzugriff zu erlangen.
In den letzten zehn Jahren hat sich die modulare Malware zu einer ausgefeilten Bedrohung entwickelt, die komplexe mehrstufige Infektionsketten verwendet, um Sicherheitslösungen zu umgehen. Eine im November 2023 von Palo Alto beobachtete Kampagne nutzt Pay-per-Install (PPI)-Dienste wie Ruzki, um Glupteba zu verbreiten. Im September 2022 wurde Ruzki mit Aktivitätsclustern in Verbindung gebracht, die PrivateLoader als Kanal für die Verbreitung von Next-Stage-Malware nutzen.
Oftmals gelangen diese Infektionen durch groß angelegte Phishing-Angriffe in ihre Zielnetzwerke. Dabei wird PrivateLoader als Teil von gefälschten Installationsdateien für geknackte Software verbreitet. PrivateLoader startet dann SmokeLoader, der wiederum RedLine Stealer und Amadey aktiviert, welche letztendlich Glupteba verbreiten.
Die Sicherheitsexperten von Palo Alto Networks erklären: „Häufig verbreiten Bedrohungsakteure Glupteba als krönenden Teil einer komplexen Infektionskette, die mehrere Malware-Familien gleichzeitig an den Start schickt. Diese Infektionskette startet oft mit einer PrivateLoader- oder SmokeLoader-Infektion, die dann andere Malware-Familien und letztendlich Glupteba nachlädt.“
Ein deutliches Anzeichen dafür, dass die Malware aktiv weiterentwickelt wird, ist die Integration von Glupteba mit einem UEFI-Bootkit. Dieses Bootkit nutzt eine modifizierte Version eines Open-Source-Projekts namens EfiGuard, um beim Starten des Systems Sicherheitsmechanismen wie PatchGuard und Driver Signature Enforcement (DSE) zu umgehen.
Frühere Versionen der Malware installierten einen Kernel-Treiber, den der Bot als Rootkit verwendete, und führten weitere Änderungen durch, welche die Sicherheit des infizierten Computers beeinträchtigten.
Die Glupteba-Kampagne, die im Jahr 2023 erneut auftauchte, war weit verbreitet und betraf verschiedene Regionen und Branchen in Ländern wie Griechenland, Nepal, Bangladesch, Brasilien, Korea, Algerien, Ukraine, Slowakei, Türkei, Italien und Schweden.
Die Experten betonen, dass Glupteba-Malware ein markantes Beispiel für die Komplexität und Anpassungsfähigkeit moderner Cyberkrimineller bleibt. Die Entdeckung einer bisher nicht dokumentierten Methode zur Umgehung von UEFI unterstreicht die Innovationsfähigkeit dieser Malware. Außerdem zeigt das Pay-per-Install-Ökosystem, wie Cyberkriminelle bei ihren Versuchen zur Masseninfektion zusammenarbeiten und ihre Angriffe monetarisieren.