Ciberseguridad 360 | Hackers secuestran las actualizaciones del antivirus eScan para distribuir malware GuptiMiner

Hackers norcoreanos se han aprovechado del mecanismo de actualizaci�n del antivirus eScan para colocar puertas traseras en grandes redes corporativas y distribuir mineros de criptomoneda a trav�s del malware GuptiMiner.

Los investigadores describen GuptiMiner como "una amenaza altamente sofisticada" que puede realizar peticiones DNS a los servidores DNS del atacante, extraer cargas �tiles de im�genes, firmar sus cargas �tiles y realizar sideloading DLL.

Distribuci�n de GuptiMiner mediante actualizaciones de eScan

En un informe publicado hoy, la empresa de ciberseguridad Avast afirma que el actor de la amenaza detr�s de GuptiMiner ten�a una posici�n de adversario en el medio (AitM) para secuestrar el paquete normal de actualizaci�n de definiciones de virus y sustituirlo por uno malicioso llamado 'updll62.dlz'.

El archivo malicioso incluye las actualizaciones antivirus necesarias, as� como el malware GuptiMiner en forma de archivo DLL llamado 'version.dll'.

El actualizador de eScan procesa el paquete de forma normal, desempaquet�ndolo y ejecut�ndolo. Durante esa etapa, los binarios leg�timos de eScan cargan la DLL, lo que otorga al malware privilegios a nivel de sistema.

A continuaci�n, la DLL obtiene cargas �tiles adicionales de la infraestructura del atacante, establece la persistencia en el host a trav�s de tareas programadas, realiza la manipulaci�n de DNS, inyecta shellcode en procesos leg�timos, utiliza la virtualizaci�n de c�digo, almacena cargas �tiles cifradas con XOR en el registro de Windows y extrae PE de PNG.

GuptiMiner tambi�n comprueba si el sistema que ejecuta tiene m�s de 4 n�cleos de CPU y 4 GB de RAM para evadir los entornos sandbox, y determina si Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor y OllyDbg se est�n ejecutando activamente.

Los productos AhnLab y Cisco Talos tambi�n se desactivan si se est�n ejecutando en la m�quina infectada. A continuaci�n se muestra un diagrama completo de la cadena de infecci�n:

Cadena de ataques GuptiMiner (Avast)

Los investigadores de Avast dicen que GuptiMiner puede estar vinculado al grupo norcoreano APT Kimsuki, bas�ndose en las similitudes entre la funci�n de robo de informaci�n y el keylogger Kimsuky.

Los investigadores tambi�n descubrieron que algunas partes de la operaci�n GuptiMiner sugieren una posible conexi�n con Kimsuki. Uno de los puntos en com�n es el uso del dominio mygamesonline[.]org, habitual en las operaciones de Kimsuki.

Herramientas de malware desplegadas

Los hackers utilizaron GuptiMiner para desplegar m�ltiples programas maliciosos en los sistemas comprometidos, incluyendo dos puertas traseras distintas y el minero XMRig Monero.

La primera puerta trasera es una versi�n mejorada de Putty Link, desplegada en sistemas corporativos para escanear la red local en busca de sistemas vulnerables y puntos de pivote para el movimiento lateral.

Busca espec�ficamente sistemas Windows 7 y Windows Server 2008, explot�ndolos a trav�s de t�neles de tr�fico SMB.

La segunda puerta trasera es un malware modular complejo que escanea el host en busca de claves privadas almacenadas y carteras de criptomonedas, y crea una clave de registro para marcar la finalizaci�n del escaneado, con el fin de evitar repeticiones ruidosas.

Puede aceptar comandos para instalar m�dulos adicionales en el registro, mejorando a�n m�s sus capacidades en entornos infectados. Sin embargo, Avast no proporcion� detalles adicionales.

Los atacantes tambi�n dejaron caer el minero XMRig en muchos casos, lo que contrasta con la sofisticaci�n exhibida en la campa�a analizada y podr�a ser un intento de desviar la atenci�n de la l�nea de ataque principal.

Respuesta de eScan

Los investigadores de Avast revelaron la vulnerabilidad explotada a eScan y el proveedor de antivirus confirm� que el problema estaba solucionado.

eScan tambi�n dijo que el �ltimo informe similar que recibieron fue en 2019. En 2020, el proveedor implement� un mecanismo de comprobaci�n m�s robusto para asegurarse de que los binarios no firmados fueran rechazados.

En la implementaci�n m�s reciente, las descargas de actualizaciones de eScan se producen a trav�s de HTTPS para garantizar una comunicaci�n cifrada para los clientes que interact�an con los servidores orientados a la nube del proveedor.

Sin embargo, Avast informa de que sigue observando nuevas infecciones por GuptiMiner, lo que podr�a indicar que los clientes de eScan no est�n actualizados.

Fuente: bleepingcomputer