eScan antivirus compromesso, malware GuptiMiner distribuito tramite aggiornamenti
Gli attacchi malware stanno diventando più comuni che mai. L’ultimo nella serie è eScan, un fornitore di antivirus con sede in India, compromesso da attori minacciosi per installare il malware GuptiMiner nel PC dell’utente finale.
Gli attori minacciosi hanno sfruttato il processo di aggiornamento di eScan poiché si basava su HTTP per fornire aggiornamenti, invece del più recente e sicuro protocollo HTTPS, per caricare il malware.
I ricercatori di Avast sono stati i primi a identificare la vulnerabilità e a condividerla con eScan. Quest’ultima ha riconosciuto le lacune nel processo di aggiornamento e le ha corrette il 31 luglio 2023.
Avast descrive il malware GuptiMiner come,
GuptiMiner è una minaccia altamente sofisticata che utilizza una catena di infezione interessante insieme a un paio di tecniche che includono l’esecuzione di richieste DNS ai server DNS dell’attaccante, l’installazione laterale, l’estrazione di payload da immagini dall’aspetto innocuo, la firma dei suoi payload con un’autorità di certificazione di ancoraggio radicato di fiducia personalizzata, tra le altre cose. L’obiettivo principale di GuptiMiner è distribuire backdoor all’interno di grandi reti aziendali.
Il rapporto collega anche il malware GuptiMiner al gruppo di hacker sostenuto dallo stato nordcoreano Kimsuky.
Analisi dell’attacco di GuptiMiner tramite gli aggiornamenti di eScan
Gli attori minacciosi hanno impiegato l’attacco Man-in-the-Middle (MitM) per distribuire il malware tra utenti ignari. Inizia con l’antivirus che richiede un pacchetto di aggiornamento dal server, che gli attori minacciosi intercettano e sostituiscono con uno malevolo.
Sebbene il pacchetto malevolo contenga gli aggiornamenti pertinenti, scarica anche un file version.dll infetto, che ha gli stessi permessi dell’antivirus. Al successivo riavvio, il DLL scarica file aggiuntivi dal server dell’attore minaccioso, momento in cui il PC è completamente compromesso. 
Fonte dell’immagine: Avast Avast riporta che il malware GuptiMiner controlla anche eventuali processi attivi di Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer e Process Monitor e termina qualsiasi istanza di Cisco Talos Intelligence e AhnLab.
Sebbene il vero motivo dell’attacco rimanga sconosciuto, ha anche installato XMRig, un pacchetto per il mining di criptovalute. A parte ciò, l’attacco ha distribuito due backdoor, una per scansionare la rete alla ricerca di sistemi vulnerabili e l’altra per scansionare il PC alla ricerca di portafogli di criptovalute e chiavi private salvate.
Quando BleepingComputer ha contattato eScan per un commento, quest’ultima ha confermato di aver ricevuto rapporti simili nel 2019 e di averli risolti nel 2020. Inoltre, ha iniziato a facilitare i download tramite HTTPS per utilizzare le capacità di crittografia del protocollo.
Se sei un utente antivirus eScan, ti consigliamo di contattare immediatamente gli sviluppatori e chiedere quali modifiche possono essere implementate da parte tua per un’esperienza più sicura.
L’intero incidente eScan GuptiMiner evidenzia che anche gli antivirus sono vulnerabili agli attacchi. E mentre non esiste una protezione assoluta, utilizzare una soluzione antivirus efficace può ridurre la possibilità di tali attacchi.
Qual è la tua opinione sugli attori minacciosi che distribuiscono GuptiMiner tramite gli aggiornamenti di eScan? Condividi con i nostri lettori nella sezione commenti.
