Cybercriminelen gebruiken de blokketen om geheime berichten af te geven

SophosLabs publiceerde een studie die aan het licht bracht dat hackers het blokketennetwerk gebruiken om geheime berichten te delen.

Een groep onderzoekers van SophosLabs stelt dat hackers die de cryptojacking malware, Glupteba, gebruiken om in het geheim te communiceren via het Bitcoin-blokketennetwerk.

Volgens het rapport dat op 24 juni werd gepubliceerd, vertrouwen cybercriminelen op een commando- en controlecentrum waar ze gecodeerde geheime berichten sturen die een 256-bits AES-decryptiesleutel vereisen.

Gecodeerde berichten die worden gebruikt om malware bij te werken

Het doel van het communicatiekanaal is dat hackers bijgewerkte configuratie-informatie voor de malware ontvangen. Deze gegevens worden door aanvallers gebruikt om nauwkeurige instructies te verkrijgen en zo de kwaadaardige software te updaten.

Glupteba is een zogenaamde zombie of software robot die op afstand kan worden bestuurd. Het heeft verschillende functies, zoals een rootkit, beveiligingsonderdrukker, virus, router aanvalstool, browser stealer, en als een cryptojacking tool.

SophosLabs legt de merkwaardige functie in detail uit:

„Glupteba maakt gebruik van het feit dat de Bitcoin Loophole-transacties worden vastgelegd op de Bitcoin-blokketen, wat een openbaar register is van transacties die beschikbaar zijn vanuit een veelheid van bronnen die niet zichtbaar toegankelijk zijn vanaf de meeste netwerken. Bitcoin‘-transacties‘ hoeven eigenlijk niet over geld te gaan – ze kunnen een veld met de naam RETURN bevatten, ook bekend als OP_RETURN, dat in feite een commentaar is van maximaal 80 tekens.

Toekomstige malware-aanbieder?

Het cybersecurity-bedrijf waarschuwt echter dat de malware deze functie kan gebruiken als een toegevoegde waarde om deze te commercialiseren.

Andrew Brandt, een hoofdonderzoeker bij SophosLabs, vertelde ZDNet:

Ik zou zeggen dat de Glupteba-aanvallers zichzelf op de markt willen brengen als een malware-aanbieder voor andere malwaremakers die waarde hechten aan een lange levensduur en stealth boven het rumoerige snelle eindspel van bijvoorbeeld een ransomware-lading.

Maar dit is niet het eerste geval waarin het blokketennetwerk wordt gebruikt om berichten in de crypto-sfeer te versturen. Op 25 mei werd een bericht ondertekend door 145 portemonnees met Bitcoin (BTC) uit een aantal vroege blokken die Craig Wright een „leugenaar en een bedrieger“ noemden.

26. Juni 2020