Mecanismo de actualización de antivirus eScan explotado para propagar puertas traseras y mineros

Una reciente campaña de malware ha estado aprovechando el sistema de actualización del proveedor de antivirus eScan para distribuir puertas traseras y mineros de criptomonedas como XMRig. La amenaza, conocida como GuptiMiner, ha estado afectando redes corporativas grandes. Según Avast, el responsable de esta actividad se cree que tiene vínculos con el grupo de piratería norcoreano Kimsuky, también conocido como Black Banshee, Emerald Sleet y TA427.

GuptiMiner utiliza una cadena de infección sofisticada que involucra técnicas como solicitudes DNS a servidores del atacante, cargas laterales y la extracción de cargas útiles de imágenes inocentes. El malware, alojado en el mecanismo de actualización de eScan, se propaga utilizando un ataque de adversario en el medio (AitM) y se ha corregido a partir del 31 de julio de 2023.

El DLL malicioso ejecutado por el software eScan realiza una secuencia de múltiples etapas, involucrando un cargador de archivos PNG, servidores DNS maliciosos y un servidor de comando y control (C&C). Avast descubrió que GuptiMiner aloja sus propios servidores DNS para servir direcciones de dominios de destino reales, lo que evita que el malware sea detectado por servidores DNS legítimos.

El malware utiliza un shellcode en un archivo PNG para desplegar XMRig y puertas traseras en sistemas infectados. Además, se encontraron dos tipos de puertas traseras diseñadas para permitir el movimiento lateral, aceptar comandos del atacante y entregar componentes adicionales. Este despliegue inesperado de XMRig sugiere que puede pretender distraer a las víctimas y ocultar la verdadera magnitud de la brecha de seguridad.

GuptiMiner, activo desde al menos 2018, utiliza varias técnicas para evadir la detección, como trucos antivm y anti depuración, virtualización de código, almacenamiento de cargas útiles en el Registro de Windows y la adición de un certificado raíz al almacén de certificados de Windows. Avast también ha identificado vínculos entre GuptiMiner y Kimusky a través de un ladrón de información utilizado en toda la campaña.

Aunque no está claro quiénes son los objetivos específicos de la campaña, se ha observado que las nuevas infecciones probablemente provienen de clientes obsoletos de eScan. Estos hallazgos coinciden con los informes de la Agencia de Policía Nacional de Corea (KNPA), que denunció a grupos de piratas informáticos norcoreanos por apuntar al sector de defensa en el país y extraer datos valiosos. Un informe indicó que estos actores de amenazas penetraron en las redes de 83 contratistas de defensa surcoreanos y robaron información confidencial de unos 10 de ellos.

Vía The Hacker News