Das Glupteba-Botnetz wurde mit einer zuvor nicht dokumentierten Funktion namens Unified Extensible Firmware Interface (UEFI) Bootkit entdeckt, was dem Malware einen weiteren Grad an Raffinesse und Tarnung verleiht. Das Bootkit kann den Boot-Prozess des Betriebssystems beeinflussen und kontrollieren, was es Glupteba ermöglicht, sich zu verstecken und eine heimliche Persistenz zu erzeugen, die äußerst schwer zu erkennen und zu entfernen ist. Glupteba ist ein voll ausgestatteter Informationssammler und Backdoor, der illegales Kryptowährungsmiining und die Bereitstellung von Proxy-Komponenten auf infizierten Hosts ermöglicht. Es nutzt auch die Bitcoin-Blockchain als Backup-Befehls- und Kontrollsystem, was es widerstandsfähig gegen Takedown-Maßnahmen macht. Andere Funktionen ermöglichen es Glupteba, zusätzliche Nutzlasten zu liefern, Zugangsdaten und Kreditkartendaten abzuzapfen, Werbebetrug zu begehen und sogar Router auszunutzen, um Zugangsdaten und Fernadministrationszugriff zu erlangen.
Im Laufe des letzten Jahrzehnts hat sich modulare Malware zu einer ausgeklügelten Bedrohung entwickelt, die komplexe, mehrstufige Infektionsketten einsetzt, um von Sicherheitslösungen unentdeckt zu bleiben. In einer im November 2023 beobachteten Kampagne nutzte das Glupteba-Botnetz Pay-per-Install (PPI)-Dienste wie Ruzki, um sich zu verbreiten. Im September 2022 verband Sekoia Ruzki mit Aktivitätsclustern und nutzte PrivateLoader als Kanal zur Verbreitung von Malware der nächsten Stufe. Bei dieser Kampagne wurden PrivateLoader-Dateien als Installationsdateien für geknackte Software getarnt, die dann SmokeLoader lädt, und von dort aus werden RedLine Stealer und Amadey gestartet, wobei letzterer schließlich Glupteba installiert.
Glupteba wird oft als Teil einer komplexen Infektionskette verteilt, die mehrere Malware-Familien gleichzeitig verbreitet. Diese Infektionskette beginnt oft mit einer PrivateLoader- oder SmokeLoader-Infektion, die andere Malware-Familien lädt und schließlich Glupteba installiert. Als Zeichen dafür, dass die Malware aktiv gewartet wird, wird Glupteba mit einem UEFI Bootkit geliefert, das eine modifizierte Version eines Open-Source-Projekts namens EfiGuard verwendet und PatchGuard und Driver Signature Enforcement (DSE) beim Booten deaktivieren kann. Es ist erwähnenswert, dass frühere Versionen der Malware einen Kernel-Treiber installierten, den das Botnetz als Rootkit verwendet, und andere Änderungen vornahmen, die die Sicherheit eines infizierten Hosts schwächten.
Die Forscher heben hervor, dass Glupteba nach wie vor als bemerkenswertes Beispiel für die Komplexität und Anpassungsfähigkeit von modernen Cyberkriminellen gilt. Die Entdeckung einer undokumentierten UEFI-Bypass-Technik in Glupteba verdeutlicht die Innovations- und Ausweichfähigkeiten dieser Malware. Darüber hinaus legt das PPI-Ökosystem mit seiner Rolle bei der Verbreitung von Glupteba die Zusammenarbeits- und Monetarisierungsstrategien von Cyberkriminellen bei ihren Masseninfektionsversuchen offen.