Entrega de malware a través de actualizaciones del antivirus

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los piratas informáticos norcoreanos han estado explotando el mecanismo de actualización del antivirus eScan para instalar puertas traseras en grandes redes corporativas y entregar mineros de criptomonedas a través del malware GuptiMiner.

Los investigadores describen a GuptiMiner como "una amenaza altamente sofisticada" que puede realizar solicitudes DNS a los servidores DNS del atacante, extraer cargas útiles de imágenes, firmar sus cargas útiles y realizar descargas de DLL.

Entrega de GuptiMiner a través de actualizaciones de eScan

En un informe publicado, la compañía de ciberseguridad Avast dice que el actor de amenazas detrás de GuptiMiner tenía una posición de adversario en el medio (AitM) para secuestrar el paquete de actualización de definición de virus normal y reemplazarlo con uno malicioso llamado 'updll62.dlz. '

El archivo malicioso incluye las actualizaciones de antivirus necesarias, así como un malware GuptiMiner como un archivo DLL llamado "version.dll".

El actualizador de eScan procesa el paquete normalmente, lo descomprime y lo ejecuta. Durante esa etapa, los archivos binarios legítimos de eScan descargan la DLL, lo que otorga al malware privilegios a nivel de sistema.

A continuación, la DLL recupera cargas útiles adicionales de la infraestructura del atacante, establece persistencia en el host a través de tareas programadas, realiza manipulación de DNS, inyecta shellcode en procesos legítimos, utiliza virtualización de código, almacena cargas útiles cifradas con XOR en el registro de Windows y extrae PE de PNG.

GuptiMiner también verifica si el sistema que ejecuta tiene más de 4 núcleos de CPU y 4 GB de RAM para evadir entornos sandbox, y determina si Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor y OllyDbg están activos.

Los productos AhnLab y Cisco Talos también se desactivan si se ejecutan en la máquina atacada. A continuación, se muestra un diagrama completo de la cadena de infección:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de Avast dicen que GuptiMiner puede estar vinculado al grupo APT norcoreano Kimsuki, basándose en las similitudes entre la función de robo de información y el keylogger Kimsuky.

Los investigadores también descubrieron que algunas partes de la operación GuptiMiner sugieren una posible conexión con Kimsuki. Un punto en común es el uso del dominio mygamesonline[.]org, que normalmente se ve en las operaciones de Kimsuky.

Herramientas de malware implementadas
Los piratas informáticos utilizaron GuptiMiner para implementar múltiples malware en sistemas comprometidos, incluidas dos puertas traseras distintas y el minero XMRig Monero.

La primera puerta trasera es una versión mejorada de Putty Link, implementada en sistemas corporativos para escanear la red local en busca de sistemas vulnerables y puntos de pivote para movimiento lateral.

Busca específicamente sistemas Windows 7 y Windows Server 2008, explotándolos a través de túneles de tráfico SMB.

La segunda puerta trasera es un malware modular complejo que escanea el host en busca de claves privadas almacenadas y billeteras de criptomonedas, y crea una clave de registro para marcar la finalización del escaneo, para evitar repeticiones ruidosas.

Puede aceptar comandos para instalar módulos adicionales en el registro, mejorando aún más sus capacidades dentro de entornos infectados. Sin embargo, Avast no proporcionó detalles adicionales.

Los atacantes también dejaron caer el minero XMRig en muchos casos, lo que contrasta con la sofisticación exhibida en la campaña analizada y podría ser un intento de desviar la atención de la línea de ataque principal.

La respuesta de eScan

Los investigadores de Avast revelaron la vulnerabilidad explotada a eScan y el proveedor de antivirus confirmó que el problema estaba solucionado.

eScan también dijo que el último informe similar que recibieron fue en 2019. En 2020, el proveedor implementó un mecanismo de verificación más sólido para asegurarse de que los binarios no firmados fueran rechazados.

En la implementación más reciente, las descargas de actualizaciones de eScan se realizan a través de HTTPS para garantizar una comunicación cifrada para los clientes que interactúan con los servidores orientados a la nube del proveedor.

Sin embargo, Avast informa que continúa observando nuevas infecciones por parte de GuptiMiner, lo que podría indicar clientes de eScan obsoletos.

La lista completa de indicadores de compromiso (IoC) de GuptiMiner para ayudar a los defensores a mitigar esta amenaza se puede encontrar en esta página de GitHub:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hace muchos, muchos muchos años, cuando la seguridad brillaba por su ausencia, había una herramienta que hacía algo parecido. Se llamaba, creo recordar,  evilgrade, y lo que hacia era hacerse pasar por una actualización legítima para inyectar el payload que le dijeras.
Supongo que hoy en día ya está completamente obsoleta.

Lo que me llamó la atención de esta noticia es que hay un MITM que ni se sabe cómo lo implementan.

Para mi tiene que ser por los DNS.

CitarPara mi tiene que ser por los DNS

Exacto.
El MITM (man in the middle), ya sea como cliente de la red, o como puerta de enlace, es necesario para envenenar y redirigir la petición DNS que quieres traer a tu servidor falso que sirve el payload.

Eso es muy interessante ! 

Cuando no se sabe exactamente como se hace las cosas es lo mejor (de mi aviso), pone mi curiosidad a alto nivel