Una reciente campaña de malware ha estado utilizando el sistema de actualización del software antivirus eScan para distribuir backdoor y mineros de criptomonedas como XMRig.

Esta amenaza, denominada GuptiMiner, se dirige principalmente a grandes redes corporativas. La actividad parece estar relacionada con un grupo de piratas informáticos norcoreano conocido como Kimsuky (conocido también como: Black Banshee, Emerald Sleet y TA427).

La firma de ciberseguridad Avast describe a GuptiMiner como una amenaza altamente sofisticada que utiliza una serie de técnicas avanzadas, incluyendo solicitudes de DNS a servidores controlados por los atacantes, carga lateral, ocultación de payloads en imágenes, y firma de cargas útiles con una autoridad de anclaje raíz de confianza personalizada.

Esta intrincada cadena de infección explota una vulnerabilidad en el mecanismo de actualización de eScan para propagar el malware a través de un ataque de adversario en el medio (AitM).

Específicamente, el método consiste en suplantar las actualizaciones mediante la sustitución del archivo del paquete por una versión maliciosa, aprovechando que las descargas no estaban protegidas mediante HTTPS ni firmadas.

La DLL maliciosa («updll62.dlz») utilizada por el software eScan carga una DLL adicional («version.dll») de forma lateral para iniciar una secuencia de múltiples etapas. Esta secuencia comienza con un cargador de archivos PNG, el cual se comunica con un servidor de comando y control (C2) a través de servidores DNS maliciosos para obtener código de shell adjunto.

Según los investigadores Jan Rubín y Milánek, GuptiMiner aloja sus propios servidores DNS para proporcionar direcciones de dominio reales de servidores C2 mediante respuestas TXT de DNS. Como el malware se conecta directamente a estos servidores maliciosos, el protocolo DNS opera independientemente de la red DNS estándar, lo que significa que ningún servidor DNS legítimo detectará el tráfico que genere el malware.

Posteriormente, el archivo PNG se analiza para extraer el shellcode, el cual es responsable de ejecutar un cargador Gzip diseñado para descomprimir otro shellcode y ejecutarlo en un proceso separado.

La tercera etapa del malware, conocida como Puppeteer, coordina todas las operaciones y, en última instancia, instala el minero de criptomonedas XMRig y backdoor en los sistemas infectados. (El uso de XMRig sugiere la posibilidad de que el minero se utilice como una distracción para ocultar el verdadero alcance del compromiso a las víctimas.)

Cadena de Infección:

Se detectaron dos tipos de backdoor. El primero es una versión mejorada de PuTTY Link, que facilita el escaneo SMB de la red local y permite el movimiento lateral hacia sistemas potencialmente vulnerables con Windows 7 y Windows Server 2008 en la red.

La segunda backdoor es multimodular y permite la instalación de más módulos mediante comandos del atacante. Además, se centra en el escaneo de claves privadas almacenadas y billeteras criptográficas en el sistema local.

Fuente:

eScan Antivirus Update Mechanism Exploited to Spread Backdoors and Miners

GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining