Aggiornamenti recenti Giugno 9th, 2026 12:26 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Infrastrutture Critiche e Geopolitica: è l’Era dell’Antifragilità
- Il gruppo criminale cinese TA4922 adesso punta anche all’Europa
- Il 78% delle aziende ha già subito o sospetta incidenti legati all’IA
- SEO poisoning e chatbot AI dirottati per un malware miner
- Kaspersky: la GenAI mette alla prova il riconoscimento facciale
GuptiMiner intercetta gli update dell’antivirus per distribuire backdoor e cryptominer
I ricercatori di Avast hanno scoperto una nuova campagna malware che effettua l’hijacking degli aggiornamenti dell’antivirus eScan per distribuire backdoor e miner di criptovalute.
Il malware, chiamato GuptiMiner, segue una catena di infezione piuttosto complessa nella quale gli attaccanti, tramite attacchi Man in the Middle, intercettano la richiesta di aggiornamento dell’antivirus al server e scambiamo il pacchetto di update con uno malevolo. Una volta estratto il pacchetto, viene caricata una libreria DLL che dà il via al resto del processo, durante il quale viene installato XMRig per il mining di criptovalute e una backdoor.
Avast ha individuato due varianti di backdoor: la prima è una versione migliorata di PuTTY Link che esegue la scansione della rete colpita per individuare sistemi Windows 7 e Windows Server 2008 e spostarsi lateralmente; la seconda è multi-modulare e accetta comandi dagli attaccanti per installare nuovi moduli, oltre a essere in grado di scansionare il sistema per ottenere chiavi private e portafogli di criptovalute.
Pixabay
“Gli attaccanti hanno implementato numerosi stage e funzionalità, tra cui l’esecuzione di richieste ai server DNS dell’aggressore, il sideloading, l’estrazione di payload da immagini, la firma dei payload con un’autorità di certificazione di root anchor personalizzata e molte altre” afferma il team di Avast. GuptiMiner colpisce principalmente grandi organizzazioni di tutto il mondo.
Non ci sono ancora indizi certi sull’identità degli attaccanti, ma secondo i ricercatori il gruppo sarebbe legato a Kimsuky, un gruppo APT Nord Coreano che utilizza tecniche molto simili nelle sue campagne.
Avast ha condiviso con eScan i dettagli sulla vulnerabilità del processo di aggiornamento e il vendor ha risolto il problema nell’ultima versione dell’antivirus. “La nostra ultima versione sfrutta download https sicuri che assicurano comunicazioni criptate quando i client interagiscono con i nostri server cloud per scaricare gli aggiornamenti” ha spiegato la compagnia. Il consiglio è ovviamente di aggiornare il prima possibile eScan.
Condividi l'articolo
CERT-AGID 20 – 26 aprile 2024: otto famiglie di malware generano 305 indicatori di compromissione
Lori MacVitte: "I bot non fanno distinzione tra app e API"
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Infrastrutture Critiche e Geopolitica: è l’Era... Il nuovo assetto geopolitico mondiale ha messo a nudo una... -
Il 78% delle aziende ha già subito o sospetta incidenti... A leggere il nuovo “2026 Cloud Security Report”... -
Kaspersky: la GenAI mette alla prova il riconoscimento... Un volto reale può essere modificato dall’intelligenza... -
Kaspersky: gli agenti IA cambiano la fiducia aziendale Gli agenti di intelligenza artificiale sono ormai entrati... -
Un dipendente su otto considera accettabile vendere le... Il problema del dipendente “infedele” è vecchio quanto...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Infrastrutture Critiche e Geopolitica: è l’Era... Il nuovo assetto geopolitico mondiale ha messo a nudo
-
Il gruppo criminale cinese TA4922 adesso punta anche... Un gruppo cybercriminale di lingua cinese fino a poco... -
Il 78% delle aziende ha già subito o sospetta incidenti... A leggere il nuovo “2026 Cloud Security Report”...
-
SEO poisoning e chatbot AI dirottati per un malware miner Le campagne di SEO poisoning non sono certo una novità... -
HackerOne taglia drasticamente le ricompense dei bug bounty L’epoca d’oro dei bug bounty potrebbe stare entrando in...
Ransomware: la serie
No posts found.