Так же, как и программное обеспечение, которое мы используем для улучшений и обновлений, вирусы аналогичным образом находят новые способы заражения ваших компьютеров и онлайн-пространства, создавая проблемы для пользователей.
Недавно выяснилось, что дроппер Glupteba и бэкдор-троян способны управлять и контролировать домены, отслеживая биткоин-транзакции. Наряду с этим дроппер Glupteba добавляет ещё два компонента к системным уязвимостям браузера — эксплойт и эксплойт роутера.
Похититель браузера получает доступ к истории посещений пользователя, а также к файлам cookie, именам учетных записей и паролям из таких браузеров, как Chrome, Opera и Яндекс. Пока всё это происходит, эксплойт маршрутизатора использует уязвимость MikroTik RouterOS, которая позволяет злоумышленникам записывать произвольные файлы.
Использование маршрутизатора помогает злоумышленникам настроить маршрутизатор в качестве прокси-сервера SOCKS, который направляет вредоносный трафик, чтобы скрыть правильный IP-адрес злоумышленников.
Функциональность обновления C&C Glupteba заслуживает особого внимания. Вредоносное ПО использует функцию DiscoverDomain, которая предназначена для серверов биткоин-кошельков Electrum, используя общедоступный список. Оно пытается получить доступ к истории хеш-скрипта блокчейнов с помощью жёстко закодированного хеша, что обеспечивает всю историю связанных транзакций.
Эта версия Glupteba была распространена в рамках рекламной кампании, направленной на файлообменные сайты. В случае, если вредоносная программа по какой-либо причине теряет контроль над сервером C&C, добавляется новый биткоин-скрипт, и заражённая машина получает новый сервер, который формируется путем дешифрования данных скрипта и повторного подключения.