谷歌宣布已关闭Glupteba僵尸网络

谷歌宣布已关闭Glupteba僵尸网络

据Securityaffairs消息，12月7日，谷歌宣布破坏了Glupteba僵尸网络。同时，谷歌还起诉了两位俄罗斯人Dmitry Starovikov和Alexander Filippov，这两位被认为是该僵尸网络的创建和运营者，并同步经营着为Glupteba做广告的在线网站。例如，dont.farm就被用来出售被感染的谷歌和Facebook广告账户访问权。

Glupteba僵尸网络

Glupteba自2011年以来一直活跃，是一种支持区块链的模块化恶意软件，控制着全球超过100万台Windows PC设备，主要针对美国、印度、巴西和东南亚国家，每天增加数千台新的受感染设备。

Glupteba僵尸网络主要通过PPI网络和和从流量分配系统(TDS)购买的流量进行分发，可以窃取用户凭据和cookie，在受感染主机上挖矿，或在Windows系统和物联网设备上部署代理。

一个伪装成破解软件下载的网页如下，该网页向用户提供了Glupteba的变体：

（图）

Glupteba僵尸网络使用HTTPS在控制服务器和受感染系统之间传送命令和二进制更新。为了增加基础设施的弹性，运营商还使用比特币区块链实施了备份机制。如果主C2服务器没有响应，受感染的系统可以从以下比特币钱包地址检索在最新交易中加密的备份域：

‘1CgPCp3E9399ZFodMnTSSvaf5TpGiym2N1’

‘15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6’

‘1CUhaTe3AiP9Tdr4B6weedoe9vNsymLiD97’

Glupteba僵尸网络运营商还提供以下服务：出售对加载了被盗凭证的虚拟机的访问权限(dont[.]farm)、代理访问权限(awmproxy)，以及出售信用卡号(extracard)，攻击者可以利用这些权限投放恶意广告以及付款欺诈活动。