Pozor na sofistikovaný malvér GuptiMiner, varujú bezpečnostní experti: Kradne kryptopeňaženky a prihlasovacie údaje
Bezpečnostní experti upozorňujú na prebiehajúcu vlnu útokov sofistikovaného malvéru GuptiMiner.
Bezpečnostní experti z Avastu odhalili novú sofistikovanú hrozbu GuptiMiner, ktorá sa šíri mimoriadne zaujímavým spôsobom.
Tento malvér vykonáva sideloading a inštaluje škodlivé komponenty z bezpečne vyzerajúcich obrázkov. Jeho hlavným cieľom je nainštalovanie zadných dvierok do sietí veľkých spoločností, no potenciálnou obeťou sa môže stať ktokoľvek. Experti zatiaľ odhalili dve odlišné varianty prístupu do sietí. Prvý typ umožňuje útočníkom laterálny pohyb po sieti v zariadeniach so zraniteľným operačným systémom Windows 7 a Windows Server 2008.
Druhý typ zadných dvierok má niekoľko modulov a dokáže prijímať aj príkazy od útočníka, aby nainštaloval viac modulov. Zároveň tento malvér skenuje zariadenie a hľadá súkromné kľúče či kryptopeňaženky.
Bezpečnostných expertov zaujalo, že GuptiMiner zároveň distribuuje XMRig na infikovaných zariadeniach. Keďže ide o premyslenú formu útoku, tento krok je od hackerov nečakaný.
Kyberzločinci za malvérom GuptiMiner ťažili hlavne z nezabezpečeného aktualizačného mechanizmu indického antivírusového predajcu eScan. Malvér ďalej šíria tým, že vykonávajú Man-in-the-Middle útok. Antivírová spoločnosť už túto slabinu opravila.
Neprehliadnite
Analytici objavili informácie, podľa ktorých má GuptiMiner väzby na severokórejskú hackerskú skupinu Kimusky. Samotný malvér nie je novinkou, šíri sa už minimálne od roku 2018 a potenciálne vyčíňal aj skôr. Podobnosti so severokórejskými hackermi našli vedci medzi ich keylogger malvérom a časťami malvéru GuptiMiner.
Ako prebieha útok GuptiMiner?
Útok sa začína keď si antivírový program vyžiada aktualizáciu zo servera. V tomto momente nastáva MitM útok, ktorý sa nabúra do sťahovania a vymení aktualizáciu za falošné súbory. Antivírový program rozbalí a nahrá tieto škodlivé súbory. Ako sme už spomenuli, malvér existuje najmenej od roku 2018 a odvtedy získal množstvo nových funkcií.
Počas operácie malvér GuptiMiner používa niekoľko rôznych falošných domén. Medzi nimi sa nachádza aj doména na sťahovanie PNG obrázkov. Ide o reálne obrázky, napríklad logo T-Mobile, ktoré na konci kódu obsahujú malvér.
Po stiahnutí falošnej aktualizácie a nainštalovaní malvéru GuptiMiner vytvára naplánované úlohy. Z DNS útočníka malvér sťahuje textový súbor so šifrovanými URL adresami skutočných command and control serverov útočníka. Z nich sťahuje PNG súbor T-Mobile loga, ktorý má na konci shellcode, ktorý ponúka ďalšie funkcionality.
Medzi funkciami malvéru sa nachádzajú aj zadné dvierka, ktoré hackerom umožňujú neskorší prístup do siete. Časť zadných dvierok sa však zameriava na vyhľadávanie súkromných kľúčov a kryptopeňaženiek na infikovanom zariadení. To dokáže hľadaním súborov s príponou .pvk a .wallet.
Ak sa na zariadení takéto súbory nájdu, sú zaznamenané v textovom súbore. Bezpečnostní experti predpokladajú, že sa pošlú na server útočníka, keď malvér stiahne ďalšie súbory.
Počas útoku malvér vykonáva veľa rôznych krokov a funkcií. Chyba v antivírovom softvéri, cez ktorú sa útočníci do siete dostali, bola opravená. Vedci sa domnievajú, že za touto novou vlnou útokov môže stáť severokórejská hackerská skupina Kimsuky, no nedokážu to potvrdiť.
Komentáre