La botnet Glupteba evade la detección con un kit de arranque UEFI no documentado

0

La botnet Glupteba evade la detección con un bootkit UEFI no documentado

La botnet Glupteba evade la detección con un bootkit UEFI no documentado

El infame botnet Glupteba ha adquirido un nuevo y astuto poder: un bootkit UEFI nunca antes visto. Esta característica esconde el malware en las entrañas del sistema, haciéndolo casi imposible de detectar y eliminar.

Los expertos en seguridad alertan que esto impulsa las capacidades de persistencia y evasión de Glupteba. Este botnet ya se dedicaba al robo de información, la minería de criptomonedas y la distribución de malware. Ahora, gracias al bootkit, puede ocultarse aún mejor.

Lo que debes saber:

  • El bootkit de Glupteba manipula el proceso de arranque del sistema, volviéndose invisible para las herramientas de seguridad tradicionales.
  • Esto añade otra capa de defensa a este malware ya versátil, famoso por sustraer datos, minar criptomonedas y desplegar otros programas maliciosos.
  • Glupteba también es conocido por utilizar la blockchain de Bitcoin como sistema de comunicación de respaldo, lo que lo hace resistente a los intentos de eliminación.

Esta nueva artimaña pone de relieve la constante evolución de las amenazas cibernéticas. Los atacantes no se detienen en su innovación, y las soluciones de seguridad deben seguir el ritmo.

Puntos adicionales a tener en cuenta:

  • El uso de servicios de pago por instalación como Ruzki para distribuir Glupteba indica un cambio hacia métodos de distribución más elaborados.
  • La cadena de infección de múltiples etapas empleada por Glupteba demuestra cómo los atacantes encadenan diferentes herramientas para burlar las defensas.
  • Este incidente subraya la importancia de mantener la vigilancia y usar soluciones de seguridad completas que puedan detectar y eliminar incluso las amenazas más avanzadas.

Los investigadores explican que «los actores maliciosos suelen distribuir Glupteba como parte de una cadena de infección compleja que propaga varias familias de malware simultáneamente. «Esta cadena de infección suele comenzar con una infección de PrivateLoader o SmokeLoader que carga otras familias de malware, y luego carga Glupteba».

Como señal de que el malware se mantiene activamente, Glupteba viene equipado con un bootkit UEFI que incorpora una versión modificada de un proyecto de código abierto llamado EfiGuard, capaz de deshabilitar PatchGuard y Driver Signature Enforcement (DSE) durante el arranque.

Cabe destacar que se descubrió que versiones anteriores del malware «instalaban un controlador del núcleo que el bot utilizaba como rootkit, y realizaban otros cambios que debilitaban la seguridad del host infectado».

«El malware Glupteba sigue siendo un ejemplo notable de la complejidad y adaptabilidad que muestran los ciberdelincuentes modernos. La identificación de una técnica de evasión UEFI no documentada en Glupteba subraya la capacidad de innovación y evasión de este malware. Además, con su papel en la distribución de Glupteba, el ecosistema PPI pone de manifiesto las estrategias de colaboración y monetización empleadas por los ciberdelincuentes en sus intentos de infección masiva», afirmaron los investigadores.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *