Gli esperti di Avast hanno individuato nuovi attacchi effettuati da cybercriminali nordcoreani con GuptiMiner, un malware piuttosto sofisticato che usa diverse tecniche per infettare i dispositivi. Recentemente a sfruttato il meccanismo di aggiornamento dell’antivirus eScan per installare due backdoor e un cryptominer.
Hijack dell’antivirus
La catena di infezione di GuptiMiner è piuttosto complessa, in quanto usa richieste DNS al server dei cybercriminali, DLL sideloading, estrazione di payload da immagini innocue e firma dei payload con certificati. Il principale obiettivo è installare due backdoor nelle reti aziendali, ma installa anche XMRig, noto miner di criptovalute Monero.
Come veicolo iniziale viene sfruttato il meccanismo di aggiornamento di eScan. Le richieste dell’antivirus al server legittimo vengono intercettate con un attacco MitM (Man-in-the-Middle). Il pacchetto dell’update (updll3.dlz
) viene sostituito da quello infetto (updll62.dlz
). Quando installa ed esegue il pacchetto, eScan carica anche in memoria il file version.dll
(GruptiMiner) tramite DLL sideloading.
Il malware inietta quindi shellcode nel processo services.exe
, aggiunge chiavi di registro per la persistenza, installa certificati su Windows e carica in memoria il loader che preleva dal server C2 (command and control) un file PNG (il logo di T-Mobile). Nel codice dell’immagine è nascosto lo shellcode del loader Gzip che carica in memoria Puppeteer.
Quest’ultimo è il componente che installata XMRig e le due backdoor. La prima è una versione modificata di PuTTY Link che effettua la scansione delle rete locale. La seconda è una backdoor modulare che verifica la presenza di chiavi private e wallet di criptovalute. La software house indiana che sviluppa eScan ha comunicato che la vulnerabilità è stata risolta.