Uma nova ameaça cibernética está emergindo das sombras, os hackers norte-coreanos aproveitam os mecanismos de atualização dos antivírus para infiltrar backdoors em redes corporativas e disseminar mineradores de criptomoedas por meio do malware GuptiMiner.
O Que É o GuptiMiner?
Descrito pelos pesquisadores como "uma ameaça altamente sofisticada", o GuptiMiner possui uma gama impressionante de funcionalidades. Ele é capaz de realizar solicitações de DNS aos servidores do invasor, extrair dados, assinar os dados s e realizar sideload de DLL.
Como o GuptiMiner é Distribuído?
A empresa de segurança cibernética Avast divulgou um relatório alarmante, revelando que os agentes por trás do GuptiMiner estão sequestrando as atualizações normais do antivírus eScan. Eles substituem essas atualizações por pacotes maliciosos, contendo o malware disfarçado.
O arquivo malicioso, chamado 'updll62.dlz', aparenta ser uma atualização legítima do antivírus, mas contém também o GuptiMiner, disfarçado como um arquivo DLL chamado 'version.dll'. Quando o atualizador eScan processa esse pacote, a DLL é carregada, concedendo ao malware privilégios de nível de sistema.
Fonte: AVAST
Detalhes da Infecção
Uma vez instalado, o GuptiMiner busca por dados adicionais dos servidores do invasor, estabelece persistência no sistema, manipula o DNS, injeta shellcode em processos legítimos e utiliza técnicas de virtualização de código e criptografia para se manter oculto.
Além disso, o GuptiMiner é projetado para evitar ambientes de sandbox e desativar ferramentas de segurança específicas, como Wireshark e 360 Total Security.
Conexão com Grupos Norte-Coreanos
Os pesquisadores da Avast suspeitam que o GuptiMiner possa estar ligado ao grupo norte-coreano APT Kimsuki, devido a semelhanças em suas técnicas de roubo de informações. O uso do domínio mygamesonline[.]org também sugere uma possível conexão com o Kimsuky.
Resposta e Recomendações
A Avast informou a vulnerabilidade explorada ao eScan, que confirmou a correção do problema. No entanto, novas infecções ainda estão sendo observadas, possivelmente devido a clientes com versões desatualizadas do eScan.
Para defender-se contra essa ameaça, é crucial garantir que os sistemas estejam atualizados e que as ferramentas de segurança estejam configuradas corretamente. A Avast disponibilizou uma lista de indicadores de comprometimento (IoCs) do GuptiMiner para ajudar na mitigação dessa ameaça.
A batalha contra os hackers é contínua, mas com vigilância e cooperação, podemos fortalecer nossas defesas cibernéticas contra essas ameaças cada vez mais sofisticadas. Para mais detalhes sobre os IoCs do GuptiMiner, visite esta página do GitHub.
Fonte: BleepingComputer
Editado traduzido por Felipe Youssef
Comments