El antivirus *eScan* comprometido, malware *GuptiMiner* desplegado a través de actualizaciones
Los ataques de malware son más comunes que nunca. El último en la serie es eScan, un proveedor de antivirus con sede en India, comprometido por actores de amenazas para introducir el malware GuptiMiner en la PC del usuario final.
Los actores de amenazas explotaron el proceso de actualización de eScan, ya que dependía de HTTP para entregar actualizaciones, en lugar del protocolo HTTPS más reciente y seguro, para cargar el malware.
Los investigadores de Avast fueron los primeros en identificar la vulnerabilidad y compartirla con eScan. Este último reconoció las lagunas en el proceso de actualización y lo parcheó el 31 de julio de 2023.
Avast describe el malware GuptiMiner como:
GuptiMiner es una amenaza altamente sofisticada que utiliza una interesante cadena de infección junto con un par de técnicas que incluyen realizar solicitudes DNS a los servidores DNS del atacante, realizar carga lateral, extraer cargas útiles de imágenes de apariencia inocente, firmar sus cargas útiles con una autoridad de certificación raíz de confianza personalizada, entre otras. El objetivo principal de GuptiMiner es distribuir puertas traseras dentro de grandes redes corporativas.
El informe también vincula el malware GuptiMiner con Kimsuky, un grupo de hackers respaldado por el estado norcoreano.
Desglosando el ataque de GuptiMiner a través de las actualizaciones de eScan
Los actores de amenazas emplearon el ataque de Man-in-the-Middle (MitM) para distribuir el malware entre usuarios desprevenidos. Comienza con el antivirus solicitando un paquete de actualización al servidor, que los actores de amenazas interceptan y reemplazan por uno malicioso.
Aunque el paquete malicioso contiene las actualizaciones relevantes, también descarga un archivo version.dll infectado, que tiene los mismos permisos que el antivirus. En arranques posteriores, el DLL descarga archivos adicionales del servidor del actor de amenazas, momento en el cual la PC está completamente comprometida.
Fuente de la imagen: Avast
Avast informa que el malware GuptiMiner también verifica si hay procesos activos de Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer y Process Monitor, y termina cualquier instancia de Cisco Talos Intelligence y AhnLab.
Si bien el verdadero motivo del ataque sigue siendo desconocido, sí cargó XMRig, un paquete para minar criptomonedas. Aparte de eso, el ataque desplegó dos puertas traseras, una para escanear la red en busca de sistemas vulnerables y otra para escanear la PC en busca de billeteras de criptomonedas y claves privadas almacenadas.
Cuando BleepingComputer se puso en contacto con eScan para un comentario, este último confirmó haber recibido informes similares en 2019 y haberlo resuelto en 2020. Además, comenzó a facilitar descargas a través de HTTPS para utilizar las capacidades de cifrado del protocolo.
Si eres un usuario del antivirus eScan, te recomendamos ponerte en contacto con los desarrolladores de inmediato y preguntar qué cambios podrían implementarse de tu parte para una experiencia más segura.
Todo el incidente de eScan GuptiMiner destaca que incluso los antivirus son susceptibles a ataques. Y si bien no hay protección absoluta, utilizar una solución antivirus efectiva puede reducir la posibilidad de tales ataques.
¿Cuál es tu opinión sobre los actores de amenazas que despliegan GuptiMiner a través de las actualizaciones de eScan? Comparte con nuestros lectores en la sección de comentarios.
