Представьте, что ваша антивирусная программа заразила ваш компьютер вредоносным ПО — именно это недавно произошло с некоторыми пользователями eScan Antivirus.
В новом отчете Avast объясняется, как злоумышленник, возможно, выходец из Северной Кореи, воспользовался уязвимостью антивируса для загрузки бэкдора под названием GuptiMiner.
Судя по всему, после получения позиции «противник посередине» (AitM) на целевой конечной точке хакеры смогли перехватить обновление описаний вируса, а также внедрить в него вредоносное ПО. База данных определений вирусов будет обновляться как обычно, но антивирус также будет использоваться для запуска и запуска GuptiMiner.
Кимсуки атакует
Название бэкдора может немного сбить с толку, поскольку это не майнер — вредоносный код, который тайно добывает криптовалюты для злоумышленников. GuptiMiner — это бэкдор, который анализирует среду, чтобы определить, работает ли она в «песочнице», отключает различные антивирусные инструменты и инструменты защиты конечных точек, а также удаляет дополнительные полезные нагрузки.
По иронии судьбы, эти дополнительные полезные нагрузки включают XMRig — настоящий майнер криптовалюты.
Avast приписал эту атаку Кимсуки, поскольку GuptiMiner очень похож на кейлоггер Кимсуки. Кроме того, mygamesonline применяется в обоих случаях.[.]был использован домен org.
XMRig — не единственный вредоносный код, который Кимсуки сбросил на свои цели. Также существовала улучшенная версия бэкдора Putty Link, а также безымянное «сложное модульное вредоносное ПО», которое крадет приватные ключи, информацию о криптокошельке и многое другое.
Целями, по всей видимости, являются в основном крупные компании.
Поскольку кампания была обнаружена, компания eScan была уведомлена и впоследствии закрыла нарушение. Соответственно ПипКомпьютерКомпания также заявила, что получила аналогичный отчет еще в 2019 году. Год спустя он внедрил надежный механизм проверки, гарантирующий отклонение неподписанных двоичных файлов.
В заключение, пользователям eScan следует немедленно обновить свои антивирусные программы, поскольку Kimsuki по-прежнему преследует тех, у кого не установлено исправление.
Больше от TechRadar Pro
