La evolución constante de las amenazas digitales exige una vigilancia y actualización permanentes. Un ejemplo reciente y alarmante de esta evolución es el botnet Glupteba, que ha captado la atención de expertos y analistas por su capacidad para evadir la detección utilizando técnicas avanzadas.
Glupteba es un botnet, es decir, una red de dispositivos infectados (bots) o red zombie, controlados por un actor de amenazas. Se utiliza para llevar a cabo una variedad de actividades maliciosas, incluido el robo de datos, el criptojacking (minería maliciosa de criptomonedas), y ataques de denegación de servicio distribuido (DDoS). Lo que distingue a Glupteba es su mecanismo de evasión de detección y persistencia, que complica enormemente su eliminación y rastreo.
Conoce más sobre: Entendiendo la Red Zombie: Su Impacto en la Ciberseguridad
Se ha revelado que la botnet Glupteba ha integrado una característica inédita en su arsenal: un kit de arranque para la interfaz de firmware extensible unificada (UEFI), añadiendo un nivel superior de complejidad y capacidad de ocultamiento al malware.
"Este kit de arranque tiene la capacidad de interferir y controlar el proceso de arranque del sistema operativo, lo que permite a Glupteba camuflarse y lograr una persistencia casi indetectable que resulta muy complicada de descubrir y erradicar", explicaron los investigadores en un análisis reciente.
Glupteba no solo actúa como un ladrón de información y una puerta trasera completamente funcional, sino que también posibilita la minería de criptomonedas sin autorización y la implementación de componentes proxy en sistemas comprometidos. Es notable por utilizar la blockchain de Bitcoin para su sistema de comando y control (C2) secundario, lo cual la hace resistente a intentos de desactivación.
Entre sus otras capacidades, está diseñada para distribuir malware adicional, sustraer credenciales y datos de tarjetas de crédito, cometer fraude publicitario, e incluso hackear routers para obtener credenciales y acceso administrativo remoto.
En la última década, este malware modular ha evolucionado hacia una amenaza altamente sofisticada, utilizando complejas cadenas de infección en múltiples etapas para sortear las defensas de seguridad.
Una campaña detectada en noviembre de 2023 por expertos en ciberseguridad utilizó servicios de pago por instalación (PPI), como Ruzki, para diseminar Glupteba. En septiembre de 2022, se identificó a Ruzki colaborando con grupos de actividades que usan PrivateLoader como medio para distribuir malware en fases sucesivas.
Esta estrategia incluye extensas campañas de phishing donde PrivateLoader se presenta como instaladores de software pirateado, que a su vez descargan SmokeLoader. Este último desencadena la descarga de RedLine Stealer y Amadey, siendo Glupteba el último eslabón de esta cadena de infección.
También te podrá interesar: GoTitan Botnet: Un nuevo actor en el ciberespacio
Los expertos en seguridad han observado que Glupteba se propaga mediante una intrincada secuencia de infección, desplegando simultáneamente varias familias de malware. "Esta secuencia generalmente inicia con una infección por PrivateLoader o SmokeLoader, que posteriormente introduce más familias de malware antes de instalar Glupteba", indicaron.
Destacando su naturaleza activamente mantenida, Glupteba está equipado con un kit de arranque UEFI, utilizando una versión adaptada de EfiGuard, un proyecto de código abierto. Esta herramienta puede neutralizar PatchGuard y la imposición de firma de controladores (DSE) durante el arranque.
Es importante mencionar que en versiones anteriores, el malware instalaba un controlador de kernel funcionando como rootkit, además de implementar otros cambios que comprometen la seguridad de los sistemas infectados.
La reciente ola de ataques de Glupteba en 2023 ha sido extensa, afectando a diversas regiones e industrias en países tan diversos como Grecia, Nepal, Bangladesh, Brasil, Corea, Argelia, Ucrania, Eslovaquia, Turquía, Italia y Suecia.
"Glupteba continúa siendo un claro ejemplo de la complejidad y la capacidad de adaptación que caracterizan a los ciberdelincuentes de hoy", comentaron los investigadores.
"El descubrimiento de una técnica avanzada de evasión UEFI no documentada en Glupteba resalta el ingenio y la capacidad de evasión de este malware. Además, su integración en el ecosistema de pago por instalación (PPI) pone de manifiesto las tácticas colaborativas y de monetización que los ciberdelincuentes utilizan para facilitar infecciones a gran escala".
Glupteba es un recordatorio de que las amenazas cibernéticas están en constante evolución, presentando desafíos cada vez mayores para la seguridad de la información. A medida que los atacantes se vuelven más sofisticados, es imperativo que individuos y organizaciones adopten un enfoque proactivo y en capas para la ciberseguridad.
La educación, las actualizaciones de seguridad, las soluciones de seguridad avanzadas, como nuestro SOC as a Service, el monitoreo proactivo y las copias de seguridad son esenciales para protegerse contra botnets avanzados como Glupteba. Al mantenerse informados y preparados, podemos defender mejor nuestros activos digitales contra las amenazas emergentes.