Google annonce avoir œuvré pour perturber un botnet du nom de Glupteba prenant pour cible des machines Windows. Il est fait mention de l'ordre d'un million d'appareils Windows infectés dans le monde, avec un rythme de propagation - et compromission - pouvant atteindre des milliers de nouveaux appareils par jour.

Glupteba est présenté comme un botnet connu pour dérober des identifiants, cookies et données des utilisateurs, miner des cryptomonnaies sur les hôtes infectés (cryptojacking), mettre en place des composants proxy pour faire passer le trafic internet d'autres personnes via des machines et routeurs infectés.

La puissance du botnet Glupteba est susceptible d'être exploitée dans le cadre d'attaques DDoS ou pour un ransomware.

Repéré pour la première fois en 2011, le malware Glupteba a été plus amplement distribué ces dernières années et le botnet est devenu plus dangereux. Le malware se fait notamment passer pour un logiciel gratuit, des vidéos ou films à télécharger. Par exemple, pour le téléchargement de vidéos YouTube ou un logiciel cracké. Après infection, le malware rapatrie divers modules.

glupteba-distribution-malware

Google indique avoir supprimé environ 63 millions de fichiers Google Docs, 1 183 comptes Google, 908 projets cloud et 870 comptes Google Ads associés à la distribution du malware. Un travail a été mené avec des acteurs comme Cloudflare pour mettre hors service des serveurs contrôlant le botnet et placer des avertissements pour des noms de domaine malveillants.

Un botnet avec technologie blockchain décentralisée

L'infrastructure de commande et contrôle du botnet s'appuie sur HTTPS pour la communication de commandes et les mises à jour de binaires entre les serveurs de contrôle et les systèmes infectés. Afin de renforcer la résilience de l'infrastructure, les opérateurs ont mis en place un mécanisme de sauvegarde utilisant la blockchain Bitcoin.

" Dans le cas où les serveurs de commande et contrôle principaux ne répondent pas, les systèmes infectés peuvent récupérer les domaines de sauvegarde chiffrés dans la dernière transaction à partir des adresses de portefeuille bitcoin suivantes ", explique Google. La perturbation du botnet sera donc vraisemblablement temporaire.

Pour appuyer l'action technique, une plainte en justice a néanmoins été déposée aux États-Unis. Elle vise… des cybercriminels russes. Deux individus qui résident en Russie ont été identifiés pour un lien avec des domaines et comptes qui ont été supprimés.