Cyberthreat.id – Botnet malware Glupteba telah beraksi kembali, menginfeksi perangkat di seluruh dunia setelah operasinya diganggu oleh Google hampir setahun yang lalu.

Seperti diketahui, pada Desember 2021, Google berhasil menyebabkan gangguan besar-besaran pada botnet yang mengaktifkan blockchain, mengamankan perintah pengadilan untuk mengambil kendali atas infrastruktur botnet dan mengajukan keluhan terhadap dua operator Rusia.

Dikutip dari Bleeping Computer, perusahaan keamanan siber Nozomi melaporkan bahwa transaksi blockchain, pendaftaran sertifikat TLS, dan sampel rekayasa balik Glupteba menunjukkan kampanye Glupteba skala besar baru yang dimulai pada Juni 2022 dan masih berlangsung.

Glupteba adalah malware modular berkemampuan blockchain yang menginfeksi perangkat Windows untuk menambang cryptocurrency, mencuri kredensial dan cookie pengguna, dan menyebarkan proxy pada sistem Windows dan perangkat IoT. Proksi ini kemudian dijual sebagai 'proksi perumahan' ke penjahat dunia maya lainnya.

Malware ini sebagian besar didistribusikan melalui malvertising pada jaringan bayar-per-instal (PPI) dan sistem distribusi lalu lintas (TDS) yang mendorong penginstal yang menyamar sebagai perangkat lunak, video, dan film gratis.

“Glupteba menggunakan blockchain Bitcoin untuk menghindari gangguan dengan menerima daftar terbaru dari server perintah dan kontrol yang harus dihubungi untuk menjalankan perintah,” kata Nozomi.

Nozomi menjelaskan, klien botnet mengambil alamat server C2 menggunakan fungsi temukan yang menyebutkan server dompet Bitcoin, mengambil transaksi mereka, dan mem-parsingnya untuk menemukan alamat terenkripsi AES.

Strategi ini telah digunakan oleh Glupteba selama beberapa tahun, menawarkan ketahanan terhadap pencopotan.hal tersebut karena transaksi blockchain tidak dapat dihapus, sehingga upaya penghapusan alamat C2 berdampak terbatas pada botnet.

Selain itu, tanpa kunci pribadi Bitcoin, penegakan hukum tidak dapat menanamkan muatan ke alamat pengontrol, sehingga pengambilalihan botnet secara tiba-tiba atau penonaktifan global seperti yang memengaruhi Emotet pada awal tahun 2021 tidak mungkin dilakukan. Satu-satunya downside adalah blockchain Bitcoin bersifat publik, sehingga siapa pun dapat mengaksesnya dan meneliti transaksi untuk mengumpulkan informasi.

Nozomi melaporkan bahwa Glupteba terus menggunakan blockchain dengan cara yang sama, hari ini, sehingga analisnya memindai seluruh blockchain untuk menemukan domain C2 yang tersembunyi. Upaya itu sangat besar, melibatkan pemeriksaan 1.500 sampel Glupteba yang diunggah ke VirusTotal untuk mengekstrak alamat dompet dan berupaya mendekripsi data muatan transaksi menggunakan kunci yang terkait dengan malware.

Akhirnya, Nozomi menggunakan catatan DNS pasif untuk mencari domain dan host Glupteba dan memeriksa kumpulan sertifikat TLS terbaru yang digunakan oleh malware untuk mengungkap lebih banyak informasi tentang infrastrukturnya.

 

Investigasi Nozomi mengidentifikasi 15 alamat Bitcoin yang digunakan dalam empat kampanye Glupteba, dengan yang terbaru dimulai pada Juni 2022, enam bulan setelah gangguan Google. Kampanye ini masih berlangsung.

“Kampanye ini menggunakan lebih banyak alamat Bitcoin daripada operasi sebelumnya, memberikan botnet lebih tangguh,” kata Nozomi.

Selain itu, jumlah layanan tersembunyi TOR yang digunakan sebagai server C2 telah meningkat sepuluh kali lipat sejak kampanye 2021, mengikuti pendekatan redundansi serupa. Alamat paling produktif memiliki 11 transaksi dan dikomunikasikan ke 1.197 sampel, dengan aktivitas terakhirnya didaftarkan pada 8 November 2022.

Nozomi juga melaporkan banyak pendaftaran domain Glupteba baru-baru ini pada 22 November 2022, ditemukan melalui data DNS pasif. Dari penjelasan di atas, jelas bahwa botnet Glupteba telah kembali, dan tanda-tandanya menunjukkan bahwa botnet ini lebih masif dari sebelumnya dan bahkan berpotensi lebih tangguh, menyiapkan sejumlah besar alamat cadangan untuk menolak pencopotan oleh peneliti dan penegak hukum.