Aggiornamenti AV sfruttati per distribuire backdoor e coinminer

GuptiMiner è un malware sofisticato che è stato scoperto per la prima volta nel 2018 ed è ultimamente tornato alla ribalta per aver sfruttato un meccanismo di aggiornamento dell’antivirus eScan, scoperto da una ricerca Avast, allo scopo di distribuire backdoor e miner di criptovalute nelle grandi reti aziendali.

Alcune evidenze suggerirebbero possibili legami del ceppo malware con il gruppo APT nordcoreano Kimsuky, già noto per le sue operazioni di cyber spionaggio.

Attacco MitM e backdoor

In pratica sfruttando una vulnerabilità nel meccanismo di aggiornamento dell’antivirus eScan, gli attaccanti riescono a distribuire il malware attraverso un attacco man-in-the-middle. I ricercatori al riguardo presumono che sul dispositivo della vittima o sulla rete dovesse essere presente una sorta di pre-infezione che ha causato il MitM e il rilascio di un pacchetto contraffatto dell’aggiornamento scaricato ditettamente client antivirus.

Il malware distribuisce successivamente due tipi di backdoor e un miner di Monero XMRig. In particolare le backdoor mirano a scansionare le reti locali per sistemi vulnerabili e a muoversi lateralmente attraverso le reti. Sarebbero state riscontrate due diverse varianti di queste backdoor: una versione migliorata di PuTTY Link, che fornisce la scansione SMB della rete locale e consente lo spostamento laterale sulla rete e una backdoor multi-modulare, adibita alla scansione delle chiavi private e dei portafogli crittografici archiviati sul sistema locale.

Il processo d’infezione

GuptiMiner utilizza tecniche avanzate come richieste DNS ai server DNS degli attaccanti, sideloading DLL, estrazione di payload da immagini PNG e firma dei suoi payload con un’autorità di certificazione root fidata e personalizzata.

L’intero processo inizia con eScan che richiede un aggiornamento dal server di aggiornamento in cui un MitM sconosciuto intercetta il download e scambia il pacchetto di aggiornamento con uno dannoso.”, spiegano i ricercatori Avast, “Quindi, eScan decomprime e carica il pacchetto e una DLL viene caricata tramite sideloading dai binari puliti di eScan. Questa DLL abilita il resto della catena, seguita da più shellcode e caricatori PE intermedi.”

Fonte Avast

La vulnerabilità è stata risolta

La campagna GuptiMiner è stata un esempio di come i cyber criminali possano sfruttare le vulnerabilità nei sistemi di aggiornamento per distribuire malware su larga scala. Dopo la rivelazione responsabile di Avast, eScan ha fatto sapere che la vulnerabilità è stata risolta.

Su Salvatore Lombardo 229 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.