Представьте, что ваша антивирусная программа заразила ваш компьютер вредоносным ПО — именно это недавно произошло с некоторыми пользователями антивируса eScan.
В новом отчете Avast объясняется, как злоумышленник, возможно, связанный с Северной Кореей, использовал уязвимость в антивирусной программе для загрузки бэкдора под названием GuptiMiner.
Судя по всему, после получения позиции «противник посередине» (AitM) на целевой конечной точке хакеры смогли перехватить обновление определений вируса и также переместить в него вредоносное ПО. База данных определений вирусов будет обновляться как обычно, но антивирусная программа также будет подвергаться злоупотреблениям для выполнения и запуска GuptiMiner.
Кимсуки атакует
Название бэкдора может сбить с толку, поскольку это не майнер, а фрагмент вредоносного кода, который тайно добывает криптовалюту для злоумышленников. GuptiMiner — это бэкдор, который анализирует среду, чтобы определить, работает ли она в «песочнице», отключает различные антивирусные инструменты и инструменты защиты конечных точек, а также удаляет дополнительные полезные нагрузки.
По иронии судьбы, среди этих дополнительных полезных нагрузок есть XMRig — настоящий майнер криптовалюты.
Avast приписал эту атаку Кимсуки, поскольку GuptiMiner очень похож на кейлоггер Кимсуки. Более того, в обоих случаях mygamesonline[.]был использован домен org.
XMRig — не единственный фрагмент вредоносного кода, который Кимсуки разместил на своих целях. Также существовала улучшенная версия бэкдора Putty Link, а также безымянное «сложное модульное вредоносное ПО», которое крадет приватные ключи, информацию о криптокошельке и многое другое.
Целями, по-видимому, являются в основном крупные корпорации.
После обнаружения кампании компания eScan была уведомлена и впоследствии заткнула дыру. В соответствии с ПипКомпьютерКомпания также заявила, что получила аналогичный отчет еще в 2019 году. Год спустя она внедрила надежный механизм проверки, обеспечивающий отклонение неподписанных двоичных файлов.
В заключение, пользователям eScan следует немедленно обновить свои антивирусные программы, поскольку Кимсуки все еще преследует тех, кто не установил исправления.