ClickCease Backdoors y mineros en medio de la explotación del backdoor del antivirus eScan

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Backdoors y mineros en medio de la explotación del backdoor del antivirus eScan

Wajahat Raja

10 de mayo de 2024 - Equipo de expertos TuxCare

Recientemente, una ola de ataques de malware que aprovechan las vulnerabilidades del mecanismo de actualización del software antivirus eScan. Este exploit de puerta trasera del antivirus eScan distribuye puertas traseras y mineros de criptomoneda, como XMRig, lo que supone una importante amenaza para las grandes redes corporativas. En este blog, analizaremos los detalles de este puerta trasera del antivirus eScan y comprenderemos cómo afecta a las empresas y a su postura de ciberseguridad.

Exploraremos cómo prevenir el malware mediante actualizaciones antivirus para proteger sus activos digitales y su información confidencial.

 

Exploit de puerta trasera de eScan Antivirus: La intrincada cadena de infección


Una empresa de ciberseguridad, Avast, ha identificado este
exploit de puerta trasera del antivirus eScanvinculándolo a una sofisticada amenaza conocida como GuptiMiner. Esta amenaza demuestra un alto nivel de sofisticación, utilizando complejas cadenas de infección y técnicas para infiltrarse en los sistemas. En particular, GuptiMiner se ha asociado con un grupo de piratas informáticos de Corea del Norte llamado Kimsuky, también conocido como Black Banshee, Emerald Sleet y TA427.

En el centro de esta campaña se encuentra un fallo de seguridad crítico en el mecanismo de actualización del software antivirus eScan. Los atacantes aprovechan este fallo mediante un ataque de intermediario (AitM), secuestrando actualizaciones legítimas y sustituyéndolas por versiones maliciosas. Lo alarmante es que la vulnerabilidad del mecanismo de actualización de eScan pasó desapercibida durante al menos cinco años antes de ser rectificada el 31 de julio de 2023.

El malware de actualizaciones falsas de eScan emplea una compleja cadena de infección, que comienza con la ejecución de una DLL falsa ("updll62.dlz") dentro del software eScan. A continuación, esta DLL carga lateralmente otra DLL ("version.dll"), iniciando una secuencia de varias etapas. El malware utiliza técnicas como solicitudes DNS a servidores controlados por el atacante, carga lateral y extracción de carga útil de imágenes de aspecto inocuo, lo que aumenta su capacidad de evasión y persistencia.

 

Características únicas de GuptiMiner


GuptiMiner destaca por sus características únicas, entre las que se incluye el alojamiento de sus propios servidores DNS para servir verdaderas direcciones de dominio de destino de los servidores de comando y control (C&C). Esto garantiza que el tráfico DNS del malware no sea detectado por los servidores DNS legítimos, lo que mejora su capacidad de ocultación.

Una vez activado, GuptiMiner ejecuta una serie de cargas útiles, desplegando finalmente el minero de criptomonedas XMRig y puertas traseras en los sistemas infectados. El despliegue de XMRig junto con puertas traseras sofisticadas añade una capa de complejidad a la operación, pudiendo servir como distracción para ocultar el verdadero alcance del ataque.

 

Puertas traseras y movimientos laterales


Avast ha identificado dos tipos de puertas traseras desplegadas por GuptiMiner, ambas equipadas con funciones de movimiento lateral y ejecución remota de comandos. Estas puertas traseras permiten a los atacantes navegar por las redes, buscar sistemas vulnerables e instalar módulos adicionales según sea necesario. Una de las puertas traseras, una versión mejorada de PuTTY Link, facilita el escaneado SMB y el movimiento lateral a sistemas potencialmente vulnerables dentro de la red.


Despliegue imprevisto y evasión avanzada


El despliegue de XMRig, un minero de criptomonedas, dentro de la operación GuptiMiner ha sorprendido a los investigadores. Esta adición inesperada sugiere que el minero puede servir como distracción, desviando la atención de las actividades más nefastas del malware. Al centrarse en la minería de criptomonedas, los atacantes pueden tratar de ocultar sus verdaderas intenciones y prolongar su presencia en los sistemas comprometidos.

GuptiMiner emplea varias técnicas de evasión para evitar su detección y análisis. Entre ellas se incluyen trucos anti-VM y anti-depuración, virtualización de código y almacenamiento de cargas útiles en el Registro de Windows. Además, el malware añade un certificado raíz al almacén de certificados de Windows, lo que aumenta la fiabilidad de sus DLL maliciosas.

 

Riesgos de un software antivirus obsoleto


Los vínculos entre GuptiMiner y
actores de amenazas norcoreanosespecialmente Kimsuky, suscitan dudas sobre los objetivos y las metas de la campaña. Aunque los objetivos exactos siguen sin estar claros, los artefactos de GuptiMiner se han rastreado hasta la India y Alemania, y las nuevas infecciones probablemente se originen en clientes de eScan obsoletos.


Impacto en el sector de la defensa


Este
parche antivirus eScan exploit coincide con informes de grupos de piratas informáticos norcoreanos que tienen como objetivo el sector de la defensa, especialmente en Corea del Sur. Estos actores de amenazas se han infiltrado en las redes de contratistas de defensa, exfiltrando información confidencial y suponiendo un riesgo significativo para la seguridad nacional. Así que, cuidado con la amenaza que supone el malware cryptominer a través de antivirusque pueden comprometer la seguridad de su sistema.

 

Conclusión

La aparición del exploit de puerta trasera del antivirus eScan subraya la evolución del panorama de las amenazas y la importancia de adoptar medidas de ciberseguridad sólidas. Las empresas deben permanecer vigilantes, actualizar periódicamente su software de seguridad y aplicar estrategias de defensa integrales. estrategias de defensa para mitigar el riesgo de ciberataques sofisticados.

Explore alternativas seguras a eScan para soluciones de ciberseguridad sólidas y mejore la seguridad de la red empresarial con eScan para una protección completa contra las ciberamenazas.. Al mantenerse informadas y proactivas, las organizaciones pueden salvaguardar sus redes y proteger los datos confidenciales de los actores maliciosos.

Las fuentes de este artículo incluyen artículos en The Hacker News y Asuntos de seguridad.

Resumen
Backdoors y mineros en medio de la explotación del backdoor del antivirus eScan
Nombre del artículo
Backdoors y mineros en medio de la explotación del backdoor del antivirus eScan
Descripción
Manténgase informado sobre el último eScan Antivirus Backdoor Exploit. Aprenda cómo se propagan las puertas traseras y los mineros, y proteja su sistema ahora.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín