Un’indagine di Avast rivela che gli hacker stanno sfruttando la funzione di aggiornamento di eScan per distribuire malware e cryptocurrency miner attraverso GuptiMiner.
I cybercriminali sono sempre alla ricerca di nuovi modi per diffondere malware e guadagnare illegalmente. Una recente indagine di Avast ha rivelato che i hacker stanno sfruttando la funzione di aggiornamento di eScan Antivirus per distribuire malware e cryptocurrency miner attraverso GuptiMiner. In questo articolo, esploreremo come funziona questo attacco e come puoi proteggerti.
GuptiMiner: un malware sofisticato
GuptiMiner è un malware altamente sofisticato che può eseguire DNS requests ai server DNS degli attaccanti, estrarre payload da immagini, firmare i propri payload e svolgere DLL sideloading. Questo malware è stato utilizzato per sostituire i normali pacchetti di aggiornamento dei virus con uno malevolo denominato ‘updll62.dlz’.
L’attacco: come funziona
L’attacco inizia con un adversary-in-the-middle (AitM) che intercetta il pacchetto di aggiornamento dei virus e lo sostituisce con uno malevolo. Questo pacchetto include i normali aggiornamenti antivirus, insieme a una DLL di GuptiMiner. L’updater di eScan elabora il pacchetto come se fosse normale, decomprimendo e eseguendo il file. Durante questo processo, la DLL viene caricata da binari legittimi di eScan, concedendo al malware privilegi di sistema.
Successivamente, la DLL carica payload aggiuntivi dall’infrastruttura degli attaccanti, stabilisce la persistenza sul host, manipola il DNS, inietta shellcode nei processi legittimi, utilizza la virtualizzazione del codice, archivia payload XOR-encrypted nel registro di Windows e estrae PE da PNG. GuptiMiner verifica anche se il sistema ha più di 4 core CPU e 4 GB di RAM per eludere gli ambienti sandbox e disattiva determinati prodotti di sicurezza se sono in esecuzione sul sistema compromesso.
Un possibile legame con Kimsuki
Gli esperti di Avast ritengono che GuptiMiner possa essere correlato al gruppo APT nordcoreano Kimsuki, a causa di somiglianze tra la funzione di furto di informazioni e il keylogger Kimsuky. Alcune parti dell’operazione GuptiMiner suggeriscono anche una possibile connessione a Kimsuki, come l’uso del dominio ‘mygamesonline[.]org’, che è comunemente visto nelle operazioni Kimsuky.
Proteggiti da GuptiMiner
Per proteggerti da GuptiMiner, è importante mantenere aggiornato il tuo antivirus e utilizzare una soluzione affidabile. Se utilizzi eScan, assicurati di aver installato gli ultimi aggiornamenti e di aver implementato misure di sicurezza aggiuntive, come firewall e VPN. Inoltre, monitora attentamente il tuo sistema alla ricerca di attività sospette e considera l’utilizzo di strumenti di sicurezza avanzati per rilevare e rimuovere eventuali minacce.
Indicatori di compromissione (IoCs)
Per aiutare i difensori a mitigare questa minaccia, Avast ha pubblicato un elenco completo di indicatori di compromissione (IoCs) su GitHub. Questo elenco può essere utilizzato per rilevare e rispondere agli attacchi di GuptiMiner.
I cybercriminali stanno sempre cercando nuovi modi per diffondere malware e guadagnare illegalmente. L’indagine di Avast su GuptiMiner dimostra che anche gli aggiornamenti antivirus possono essere utilizzati come vettore di attacco. Per proteggerti, è importante mantenere aggiornato il tuo antivirus, utilizzare soluzioni di sicurezza affidabili e monitorare attentamente il tuo sistema alla ricerca di attività sospette.
