Uma nova campanha de malware tem explorado o mecanismo de atualização do software antivírus eScan para distribuir backdoors e mineradores de criptomoedas como o XMRig através de uma ameaça de longa data apelidada de GuptiMiner, visando grandes redes corporativas.
A empresa de cibersegurança Avast declarou que a atividade é obra de um ator de ameaça com possíveis conexões com um grupo de hackers norte-coreano conhecido como Kimsuky, que também é chamado de Black Banshee, Emerald Sleet e TA427.
"GuptiMiner é uma ameaça altamente sofisticada que usa uma cadeia de infecção interessante junto com várias técnicas que incluem a realização de solicitações DNS para os servidores DNS do atacante, sideloading, extração de payloads de imagens com aparência inocente, assinando seus payloads com uma autoridade de certificação root de confiança personalizada, entre outras," disse a Avast.
A cadeia de infecção intrincada e elaborada, em sua essência, aproveita uma deficiência de segurança no mecanismo de atualização do fornecedor indiano de antivírus eScan para propagar o malware por meio de um ataque adversário no meio (AitM).
Especificamente, isso implica sequestrar as atualizações substituindo o arquivo de pacote por uma versão maliciosa, aproveitando o fato de que os downloads não eram assinados e seguros usando HTTPS.
O problema, que passou despercebido por pelo menos cinco anos, foi corrigido a partir de 31 de julho de 2023.
O DLL malicioso ("updll62.dlz") executado pelo software eScan carrega lateralmente um DLL ("version.dll") para ativar uma sequência de múltiplas etapas começando com um carregador de arquivo PNG que, por sua vez, emprega servidores DNS maliciosos para contatar um servidor de comando e controle (C2) e buscar um arquivo PNG com shellcode anexado.
"GuptiMiner hospeda seus próprios servidores DNS para servir os verdadeiros endereços de domínio dos servidores C&C via respostas DNS TXT," disseram os pesquisadores Jan Rubín e Milánek.
À medida que o malware se conecta diretamente aos servidores DNS maliciosos, o protocolo DNS é completamente separado da rede DNS.
Assim, nenhum servidor DNS legítimo jamais verá o tráfego desse malware. O arquivo PNG é então analisado para extrair o shellcode, que é responsável por executar um carregador Gzip projetado para descomprimir outro shellcode usando Gzip e executá-lo em uma thread separada.
O malware de terceira etapa, apelidado de Puppeteer, puxa todas as cordas, finalmente implantando o minerador de criptomoedas XMRig e backdoors nos sistemas infectados.
A Avast disse que encontrou dois tipos diferentes de backdoors que vêm equipados com recursos para permitir movimento lateral, aceitar comandos do ator da ameaça e entregar componentes adicionais conforme necessário.
"O primeiro é uma versão aprimorada do PuTTY Link, fornecendo varredura SMB da rede local e possibilitando movimento lateral pela rede para sistemas Windows 7 e Windows Server 2008 potencialmente vulneráveis na rede," explicaram os pesquisadores.
"O segundo backdoor é multi-modular, aceitando comandos do atacante para instalar mais módulos, bem como focando na varredura de chaves privadas armazenadas e carteiras de criptomoedas no sistema local." A implantação do XMRig foi descrita como "inesperada" para o que é, de outra forma, uma operação complexa e meticulosamente executada, levantando a possibilidade de que o minerador atue como uma distração para impedir que as vítimas descubram a verdadeira extensão do comprometimento.
GuptiMiner, conhecido por estar ativo desde pelo menos 2018, também faz uso de várias técnicas como truques anti-VM e anti-debug, virtualização de código, descartando o carregador PNG durante eventos de desligamento do sistema, armazenando payloads no Registro do Windows e adicionando um certificado root ao armazenamento de certificados do Windows para fazer os DLLs do carregador de PNG parecerem confiáveis.
As ligações com Kimusky vêm de um ladrão de informações que, embora não distribuído pelo GuptiMiner ou através do fluxo de infecção, tem sido usado "em toda a campanha GuptiMiner" e compartilha sobreposições com um keylogger anteriormente identificado como utilizado pelo grupo.
Atualmente, não está claro quem são os alvos da campanha, mas artefatos do GuptiMiner foram carregados no VirusTotal da Índia e da Alemanha desde abril de 2018, com dados de telemetria da Avast destacando novas infecções provavelmente originárias de clientes eScan desatualizados.
As descobertas vêm enquanto a Agência Nacional de Polícia da Coreia (KNPA) chamou a atenção para equipes de hackers norte-coreanos como Lazarus, Andariel e Kimsuky por visarem o setor de defesa no país e exfiltrarem dados valiosos de alguns deles de outubro de 2022 a julho de 2023.
Um relatório do Korea Economic Daily disse que os atores de ameaças penetraram nas redes de 83 contratadas de defesa sul-coreanas e roubaram informações confidenciais de cerca de 10 delas de outubro de 2022 a julho de 2023.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...