Technologie einfach erklärt

eScan-Antivirus kompromittiert, GuptiMiner-Malware über Updates verbreitet

eScan-Antivirus verwendet, um GuptiMiner zu verbreiten Malware-Angriffe werden immer häufiger. Der Neueste in der Reihe ist eScan, ein Antivirus-Anbieter mit Hauptsitz in Indien, der von Bedrohungsakteuren kompromittiert wurde, um die GuptiMiner-Malware auf dem PC der Endbenutzer einzuschleusen.

Bedrohungsakteure nutzten den Update-Prozess von eScan, da dieser auf HTTP zur Bereitstellung von Updates angewiesen war, anstatt auf das neueste und sicherere HTTPS-Protokoll, um die Malware einzuschleusen.

Forscher von Avast waren die Ersten, die die Verwundbarkeit identifizierten und sie mit eScan teilten. Letztere erkannten die Lücken im Update-Prozess und behebten diese am 31. Juli 2023.

Avast beschreibt die GuptiMiner-Malware als:

GuptiMiner ist eine hochgradig ausgeklügelte Bedrohung, die eine interessante Infektionskette sowie mehrere Techniken verwendet, darunter das Durchführen von DNS-Anfragen an die DNS-Server des Angreifers, das Sideloading, das Extrahieren von Payloads aus harmlos aussehenden Bildern, das Signieren ihrer Payloads mit einer benutzerdefinierten vertrauenswürdigen Root-Zertifizierungsstelle unter anderem. Das Hauptziel von GuptiMiner ist es, Hintertüren innerhalb großer Unternehmensnetzwerke zu verteilen.

Der Bericht verknüpft die GuptiMiner-Malware auch mit Kimsuky, einer von Nordkorea unterstützten Hackergruppe.

Analyse des GuptiMiner-Angriffs über eScan-Updates

Bedrohungsakteure setzten den Man-in-the-Middle (MitM)-Angriff ein, um die Malware unter ahnungslosen Benutzern zu verteilen. Es beginnt damit, dass das Antivirus ein Update-Paket vom Server anfordert, das von Bedrohungsakteuren abgefangen und durch ein bösartiges ersetzt wird.

Obwohl das bösartige Paket die relevanten Updates enthält, lädt es auch eine infizierte version.dll-Datei herunter, die die gleichen Berechtigungen wie das Antivirus hat. Bei nachfolgenden Neustarts lädt die DLL zusätzliche Dateien vom Server des Bedrohungsakteurs herunter, sodass der PC vollständig kompromittiert ist. Bildquelle: Avast Avast berichtet, dass die GuptiMiner-Malware auch nach aktiven Prozessen von Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer und Process Monitor sucht und jegliche Instanzen von Cisco Talos Intelligence und AhnLab beendet.

Während das tatsächliche Motiv des Angriffs unbekannt bleibt, wurde XMRig, ein Paket zum Mining von Kryptowährungen, sideladen. Abgesehen davon wurden zwei Hintertüren bereitgestellt, eine um das Netzwerk nach verwundbaren Systemen zu scannen und eine andere um den PC nach Kryptowallets und gespeicherten privaten Schlüsseln zu durchsuchen.

Als BleepingComputer eScan um einen Kommentar bat, bestätigte letzterer, dass ähnliche Berichte aus 2019 vorlagen und diese 2020 behoben wurden. Darüber hinaus begann es, Downloads über HTTPS zu ermöglichen, um die Verschlüsselungsfähigkeiten des Protokolls zu nutzen.

Wenn Sie ein eScan-Antivirus-Nutzer sind, empfehlen wir Ihnen, sich sofort an die Entwickler zu wenden und zu fragen, welche Änderungen Ihrerseits für ein sicheres Erlebnis umgesetzt werden könnten.

Der gesamte Vorfall rund um eScan GuptiMiner zeigt, dass selbst Antivirenprogramme anfällig für Angriffe sind. Und während es keinen absoluten Schutz gibt, kann die Verwendung einer effektiven Antivirenschutzlösung die Wahrscheinlichkeit solcher Angriffe verringern.

Was halten Sie von den Bedrohungsakteuren, die GuptiMiner über die eScan-Updates verbreiten? Teilen Sie Ihre Meinung mit unseren Lesern im Kommentarbereich.

Inhalt

  1. Analyse des GuptiMiner-Angriffs über eScan-Updates
Ello-dashboardprofile

Ello: Das Private Soziale Netzwerk Erforschen

Bitdefender installiert nicht: 3 einfache Lösungen, die Sie verwenden können

Mehr über Bitdefender Fixes

Google stellt Inbox ein und gibt ihm sechs Monate zu leben

seitenverhaeltnisse-16x9

Verstehen von Video-Seitenverhältnissen

Dateimanager mit Tags zur Organisation Ihrer Dateien: Top 5

Wake-on-LAN funktioniert nicht

Wake On LAN funktioniert nicht unter Windows [Gelöst]

easycap-mac-mspacman-console

Verwendung von EasyCAP zum Erfassen von VHS und Konsolen auf dem Mac

Google testet neue Chrome-Funktion zur Upgrade-Berechtigung für Windows 11