Антивирус eScan скомпрометирован, вредоносное ПО GuptiMiner развернуто через обновления
Атаки вредоносного ПО становятся все более распространенными. Последняя в этой серии — eScan, поставщик антивирусного программного обеспечения с центральным офисом в Индии, скомпрометированный злоумышленниками для внедрения вредоносного ПО GuptiMiner на ПК конечного пользователя.
Злоумышленники воспользовались процессом обновления eScan, поскольку он полагался на HTTP для доставки обновлений, вместо последнего и более безопасного протокола HTTPS, чтобы внедрить вредоносное ПО.
Исследователи из Avast первыми выявили уязвимость и сообщили о ней в eScan. Последний признал наличие лазеек в процессе обновления и устранил их 31 июля 2023 года.
Avast описывает вредоносное ПО GuptiMiner следующим образом:
GuptiMiner — это высокоразвинутая угроза, которая использует интересную цепочку заражения, а также несколько техник, включая выполнение DNS-запросов к DNS-серверам атакующего, внедрение, извлечение полезных нагрузок из выглядящих безобидными изображений, подписывание своих полезных нагрузок с помощью пользовательского корневого сертификата доверенного центра сертификации и другие. Основная цель GuptiMiner — распространение бекдоров в крупных корпоративных сетях.
В отчете также связывается вредоносное ПО GuptiMiner с Kimsuky, хакерской группой, поддерживаемой государством Северной Кореи.
Анализ атаки GuptiMiner через обновления eScan
Злоумышленники использовали атаку Человек посередине (MitM) для распространения вредоносного ПО среди ничего не подозревающих пользователей. Она начинается с того, что антивирус запрашивает пакет обновлений с сервера, который злоумышленники перехватывают и заменяют на вредоносный.
Хотя вредоносный пакет содержит соответствующие обновления, он также загружает зараженный файл version.dll, который имеет те же разрешения, что и антивирус. При последующих перезагрузках DLL загружает дополнительные файлы с сервера злоумышленника, в результате чего ПК оказывается полностью скомпрометирован.
Источник изображения: Avast
Avast сообщает, что вредоносное ПО GuptiMiner также проверяет наличие активных процессов Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer и Process Monitor, и завершает любые экземпляры Cisco Talos Intelligence и AhnLab.
Хотя истинная мотивация атаки остается неизвестной, она действительно внедряла XMRig, пакет для майнинга криптовалюты. Кроме того, атака развернула два бекдора: один для сканирования сети на наличие уязвимых систем и другой для сканирования ПК на наличие криптовалютных кошельков и сохраненных приватных ключей.
Когда BleepingComputer обратился в eScan за комментарием, последний подтвердил получение аналогичных отчетов в 2019 году и разрешение проблемы в 2020 году. Кроме того, компания начала обеспечивать загрузки через HTTPS, чтобы использовать возможности шифрования этого протокола.
Если вы являетесь пользователем антивируса eScan, рекомендуется немедленно связаться с разработчиками и узнать, какие изменения могут быть реализованы с вашей стороны для безопасного использования.
Весь инцидент с eScan GuptiMiner подчеркивает, что даже антивирусы подвержены атакам. И хотя абсолютной защиты не существует, использование эффективного антивирусного решения может снизить вероятность таких атак.
Как вы относитесь к тому, что злоумышленники развернули GuptiMiner через обновления eScan? Поделитесь с нашими читателями в комментариях.
