Хакеры используют блокчейн биткоина для удалённой отправки команд вредоносному ПО

Хакеры пользуются блокчейном биткоина для скрытого обмена сообщениями между своим ПО и командным центром, удалось выяснить исследователям из компании Sophos Labs. Речь идёт о вредоносном ПО Glupteba, «которое использует почти все известные уловки киберпреступников и, возможно, ещё несколько». Glupteba является разновидностью бота, который может дистанционно контролироваться своими создателями. Также он содержит в себе руткит для сокрытия следов присутствия, подавитель безопасности для отключения «Защитника Windows» и антивирусного ПО, вирус для автоматического распространения, инструменты атаки роутеров, инструменты для кражи данных из браузеров и скрытый майнер. Наибольший интерес, однако, представляет выбор блокчейна биткоина в качестве канала для коммуникаций, через который поступают обновления конфигурации. «Glupteba пользуется тем фактом, что транзакции биткоина записываются в публичный блокчейн, данные которого могут быть считаны из большинства сетей. Транзакции биткоина не обязательно должны быть связаны с деньгами. Они могут включать поле “OP_RETURN”, которое, по сути, является комментарием, содержащим до 80 символов», – объясняют Sophos Labs. Как установили исследователи, рассматриваемые транзакции содержат секретное сообщение, для расшифровки которого требуется специальный ключ, встроенный в Glupteba. Пример расшифровки сообщения, скрытого в блокчейне биткоина «Плохая новость заключается в том, что Glupteba имеет множество защитных компонентов, которые затрудняют его обнаружение в логах безопасности. С другой стороны, эти сложности делают такое ПО менее надёжным и, как ни парадоксально, более доступным для обнаружения в определённый момент», – заключают Sophos Labs. Фото: whiteMocca

• 02:00 Серый майнинг и рост биткоина: как регулируется криптобиржа в Казахстане