Imagínese si su programa antivirus infectara su computadora con malware – eso es exactamente lo que les pasó recientemente a algunos usuarios del antivirus eScan.
Un nuevo informe de Avast ha explicado cómo un actor de amenazas, posiblemente de afiliación norcoreana, utilizó una vulnerabilidad en el antivirus programa para descargar una puerta trasera llamada GuptiMiner.
Aparentemente, después de obtener una posición de adversario en el medio (AitM) en el punto final de destino, los piratas informáticos pudieron secuestrar la actualización de la definición del virus y hacer que también transportara malware. La base de datos de definiciones de virus se actualizaría normalmente, pero también se abusaría del programa antivirus para ejecutar y ejecutar GuptiMiner.
Ataques de kimsuki
El nombre de la puerta trasera puede resultar algo confuso, porque no se trata de un minero, sino un fragmento de código malicioso que secretamente extrae criptomonedas para los atacantes. GuptiMiner es una puerta trasera que analiza el entorno para ver si se está ejecutando en una zona de pruebas, desactiva varias herramientas antivirus y de protección de terminales y elimina cargas útiles adicionales.
Entre esas cargas útiles adicionales se encuentra, irónicamente, XMRig, un minero de criptomonedas real.
Avast ha atribuido este ataque a Kimsuki ya que GuptiMiner es bastante similar al keylogger Kimsuky. Además, en ambos casos mygamesonline[.]Se utilizó el dominio org.
XMRig no es el único código malicioso que Kimsuki arrojó sobre sus objetivos. También hubo una versión mejorada de la puerta trasera Putty Link, así como un «malware modular complejo» sin nombre que roba claves privadas, información de billeteras criptográficas y más.
Los objetivos parecen ser en su mayoría grandes corporaciones.
Desde el descubrimiento de la campaña, eScan fue notificado y posteriormente tapó el agujero. De acuerdo a pitidocomputadorala compañía también dijo que recibió un informe similar en 2019. Un año después, implementó un sólido mecanismo de verificación para garantizar el rechazo de binarios no firmados.
En conclusión, los usuarios de eScan deberían actualizar sus programas antivirus inmediatamente, ya que Kimsuki todavía persigue a aquellos que no los parchearon.