Обновления антивируса были взломаны для удаления опасного вредоносного ПО

Обновления антивируса были взломаны для удаления опасного вредоносного ПО

Представьте, что ваша антиная программа заразила ваш компьютер вредоносным ПО — именно это недавно произошло с некоторыми пользователями антивируса eScan.

В новом отчете Avast объясняется, как злоумышленник, возможно, связанный с Северной Кореей, использовал уязвимость в антивирусной программе для загрузки бэкдора под названием GuptiMiner.

Судя по всему, после получения позиции «противник посередине» (AitM) на целевой конечной точке хакеры смогли перехватить обновление определений вируса и также переместить в него вредоносное ПО. База данных определений вирусов будет обновляться как обычно, но антивирусная программа также будет подвергаться злоупотреблениям для выполнения и запуска GuptiMiner.

Кимсуки атакует

Название бэкдора может сбить с толку, поскольку это не майнер, а фрагмент вредоносного кода, который тайно добывает криптовалюту для злоумышленников. GuptiMiner — это бэкдор, который анализирует среду, чтобы определить, работает ли она в «песочнице», отключает различные антивирусные инструменты и инструменты защиты конечных точек, а также удаляет дополнительные полезные нагрузки.

По иронии судьбы, среди этих дополнительных полезных нагрузок есть XMRig — настоящий майнер криптовалюты.

Avast приписал эту атаку Кимсуки, поскольку GuptiMiner очень похож на кейлоггер Кимсуки. Более того, в обоих случаях mygamesonline[.]был использован домен org.

XMRig — не единственный фрагмент вредоносного кода, который Кимсуки разместил на своих целях. Также существовала улучшенная версия бэкдора Putty Link, а также безымянное «сложное модульное вредоносное ПО», которое крадет приватные ключи, информацию о криптокошельке и многое другое.

Целями, по-видимому, являются в основном крупные корпорации.

После обнаружения кампании компания eScan была уведомлена и впоследствии заткнула дыру. В соответствии с ПипКомпьютерКомпания также заявила, что получила аналогичный отчет еще в 2019 году. Год спустя она внедрила надежный механизм проверки, обеспечивающий отклонение неподписанных двоичных файлов.

В заключение, пользователям eScan следует немедленно обновить свои антивирусные программы, поскольку Кимсуки все еще преследует тех, кто не установил исправления.

Больше от TechRadar Pro