# Glupteba > Tipo: **botnet** · [MITRE ATT&CK](https://attack.mitre.org/software/) ## Descrição [[glupteba|Glupteba]] é um botnet modular altamente resiliente que opera desde pelo menos 2011, notável por uma característica técnica única: utiliza a blockchain do Bitcoin como canal de comunicação C2 de fallback resistente a takedowns. Quando a infraestrutura C2 primária é derrubada, os bots buscam transações específicas na blockchain do Bitcoin que contêm endereços C2 criptografados - tornando o botnet essencialmente impossível de desativar permanentemente sem comprometimento da blockchain em si. O [[glupteba|Glupteba]] foi alvo de uma ação de desativação do Google em dezembro de 2021 que resultou na derrubada da infraestrutura primária, mas o botnet se recuperou explorando justamente o mecanismo de blockchain. O [[glupteba|Glupteba]] possui um conjunto modular de capacidades: mineração de criptomoedas, roubo de credenciais e cookies de browser, operação como proxy para outros atores de ameaça (TLS proxy network), exploração de vulnerabilidades de roteadores domésticos (incluindo MikroTik) para expansão da botnet, e funcionalidade de rootkit para ocultar sua presença. O malware se propaga principalmente via SEO poisoning, pirataria de software e bundles com software crackeado. A infraestrutura de proxy do Glupteba é frequentemente alugada para outros grupos criminosos para realização de ataques. A ação legal do Google contra os operadores do [[glupteba|Glupteba]] em 2021 estabeleceu um precedente importante: empresas privadas de tecnologia processando judicialmente operadores de botnet por danos. Apesar da ação, o botnet continuou operando, demonstrando a resiliência proporcionada pelo uso da blockchain como mecanismo de C2 alternativo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1496-resource-hijacking|T1496 - Resource Hijacking]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1014-rootkit|T1014 - Rootkit]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] ## Detecção > [!tip] Indicadores de Detecção > - Detectar consultas para APIs de blockchain (blockchain.info, blockchair.com) por processos incomuns > - Monitorar comúnicações TLS para redes de proxy e nodos Tor em dispositivos corporativos > - Alertar sobre dispositivos MikroTik com firmware desatualizado e acessos de administração incomuns > - Verificar binários com rootkit capabilities (técnicas de hooking de driver) > - Bloquear download de software de sites de crack e warez via controles de proxy web e DNS ## Relevância LATAM/Brasil O [[glupteba|Glupteba]] tem presença confirmada no Brasil, distribuído principalmente via software crackeado em sites de pirataria - um vetor de altíssimo risco dado o alto índice de pirataria de software no país. A infraestrutura de proxy do Glupteba pode ser usada por outros grupos criminosos para atacar organizações brasileiras usando IPs nacionais (dificultando detecção por geolocation). Roteadores MikroTik comprometidos, amplamente utilizados em provedores de internet regionais brasileiros (ISPs de menor porte), são um componente importante da botnet no Brasil. O CERT.br monitorou campanhas de distribuição do Glupteba em contexto brasileiro. ## Referências - [Google Threat Analysis Group - Glupteba Takedown](https://blog.google/threat-analysis-group/disrupting-glupteba-operation/)