Antivírus eScan comprometido, malware GuptiMiner implantado através de atualizações
Ataques de malware estão se tornando mais comuns do que nunca. O mais recente da série é o eScan, um fornecedor de antivírus com sede na Índia, comprometido por atores de ameaça para implantar o malware GuptiMiner no PC do usuário final.
Atores de ameaça exploraram o processo de atualização do eScan, já que ele dependia de HTTP para entregar atualizações, em vez do mais recente e seguro protocolo de HTTPS, para implantar o malware.
Pesquisadores da Avast foram os primeiros a identificar a vulnerabilidade e compartilhá-la com o eScan. Este último reconheceu as falhas no processo de atualização e corrigiu-as em 31 de julho de 2023.
A Avast descreve o malware GuptiMiner como:
GuptiMiner é uma ameaça altamente sofisticada que usa uma cadeia de infecção interessante junto com algumas técnicas que incluem a realização de solicitações DNS aos servidores DNS do atacante, realização de sideloading, extração de payloads de imagens que parecem inocentes, assinando seus payloads com uma autoridade certificadora de raiz confiável personalizada, entre outros. O principal objetivo do GuptiMiner é distribuir backdoors dentro de grandes redes corporativas.
O relatório também vincula o malware GuptiMiner ao Kimsuky, um grupo de hackers apoiado pelo estado norte-coreano.
Analisando o ataque do GuptiMiner através das atualizações do eScan
Atores de ameaça empregaram o ataque Man-in-the-Middle (MitM) para distribuir o malware entre usuários desavisados. Tudo começa com o antivírus solicitando um pacote de atualização do servidor, que os atores de ameaça interceptam e substituem por um malicioso.
Embora o pacote malicioso contenha as atualizações relevantes, ele também baixa um arquivo version.dll infectado, que possui as mesmas permissões que o antivírus. Em reinicializações subsequentes, o DLL baixa arquivos adicionais do servidor do ator de ameaça, momento em que o PC está completamente comprometido. 
Fonte da imagem: Avast A Avast relata que o malware GuptiMiner também verifica qualquer instância ativa de Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer e Process Monitor e encerra quaisquer instâncias de Cisco Talos Intelligence e AhnLab.
Embora o verdadeiro motivo do ataque permaneça desconhecido, ele também implantou o XMRig, um pacote para mineração de criptomoedas. Além disso, o ataque implantou dois backdoors, um para escanear a rede em busca de sistemas vulneráveis e outro para escanear o PC em busca de carteiras de criptomoedas e chaves privadas armazenadas.
Quando o BleepingComputer entrou em contato com o eScan para um comentário, este confirmou ter recebido relatos semelhantes em 2019 e resolvê-los em 2020. Além disso, começou a facilitar downloads através de HTTPS para utilizar as capacidades de criptografia do protocolo.
Se você é um usuário do antivírus eScan, recomendamos entrar em contato com os desenvolvedores imediatamente e perguntar quais mudanças podem ser implementadas do seu lado para uma experiência mais segura.
Todo o incidente eScan GuptiMiner destaca que até mesmo antivírus estão suscetíveis a ataques. E, embora não haja proteção absoluta, usar uma solução antivírus eficaz pode reduzir a possibilidade de tais ataques.
Qual é a sua opinião sobre os atores de ameaça implantando GuptiMiner via atualizações do eScan? Compartilhe com nossos leitores na seção de comentários.
