logo

Hackers interfieren las actualizaciones de los antivirus para propagar el malware GuptiMiner

11 junio, 2024 | 1 comments |

GuptiMiner se propaga a través de actualizaciones de eScan

En un informe publicado hoy, la empresa de ciberseguridad Avast afirma que el actor de la amenaza detrás de GuptiMiner utilizó una posición de adversario en el medio (AitM) para secuestrar el paquete normal de actualización de definiciones de virus y sustituirlo por un archivo malicioso llamado «updll62.dlz».

El archivo malicioso contiene las actualizaciones antivirus necesarias, así como el malware GuptiMiner en forma de un archivo DLL llamado «version.dll».

El programa de actualización eScan procesa el paquete normalmente, desempaquetándolo y ejecutándolo. Durante este paso, los binarios legítimos de eScan ponen a dormir la DLL, otorgando al malware privilegios a nivel de sistema.

A continuación, la DLL obtiene cargas útiles adicionales de la infraestructura del atacante, establece la persistencia en el host a través de tareas programadas, realiza la manipulación de DNS, inyecta shellcode en procesos legítimos, utiliza la virtualización de código, almacena cargas útiles cifradas con XOR en el registro de Windows y extrae PE de PNG.

GuptiMiner también comprueba si el sistema que está ejecutando tiene más de 4 núcleos de CPU y 4 GB de RAM para escapar de los entornos sandbox, y determina si Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor y OllyDbg se están ejecutando activamente.

Herramientas maliciosas utilizadas

Los hackers utilizaron GuptiMiner para desplegar varias piezas de malware en los sistemas comprometidos, incluidas dos puertas traseras independientes y el minero de Monero XMRig.

La primera puerta trasera es una versión mejorada de Putty Link, desplegada en sistemas empresariales para escanear la red local en busca de sistemas vulnerables y puntos de apoyo para el movimiento lateral.

Busca específicamente sistemas Windows 7 y Windows Server 2008, que explota a través de un túnel de tráfico SMB.

La segunda puerta trasera es una compleja pieza modular de malware que escanea el host en busca de claves privadas almacenadas y carteras de criptomonedas, y crea una clave de registro para marcar el final del escaneo, con el fin de evitar repeticiones ruidosas.

Puede aceptar comandos para instalar módulos adicionales en el registro, mejorando sus capacidades en entornos infectados. Sin embargo, Avast no proporcionó más detalles.

Los atacantes también dejaron caer el minero XMRig en muchos casos, lo que contrasta con la sofisticación mostrada en la campaña analizada y podría ser un intento de desviar la atención de la línea principal de ataque.

La respuesta de eScan

Los investigadores de Avast comunicaron la vulnerabilidad explotada a eScan y el proveedor de antivirus confirmó que el problema había sido corregido.

eScan también declaró que el último informe similar que había recibido fue en 2019. En 2020, el proveedor implementó un mecanismo de verificación más robusto para garantizar que los binarios no firmados fueran rechazados.

En la implementación más reciente, las descargas de actualizaciones de eScan se realizan a través de HTTPS para garantizar una comunicación cifrada para los clientes que interactúan con los servidores orientados a la nube del proveedor.

Sin embargo, Avast informa de que sigue observando nuevas infecciones de GuptiMiner, lo que podría indicar que los clientes de eScan están desactualizados.

La lista completa de indicadores de compromiso (IoC) de GuptiMiner para ayudar a los defensores a mitigar esta amenaza está disponible en esta página de GitHub.