O Serviço do eScan Antivirus que Fornece Atualizações através de HTTP foi Atacado e Infectado pelos Hackers

Os hackers exploraram uma vulnerabilidade em um serviço antivírus para distribuir malware a usuários inocentes durante cinco anos. O ataque teve como alvo a eScan Antivirus, empresa sediada na Índia, que entregava atualizações por HTTP, protocolo conhecido por sua suscetibilidade a ataques cibernéticos que manipulam ou comprometem dados durante a transmissão. Pesquisadores de segurança da Avast revelaram que os perpetradores, possivelmente ligados ao governo norte-coreano, executaram um sofisticado ataque de Man-in-the-Middle (MitM). Essa tática envolvia a interceptação de atualizações legítimas dos servidores do eScan e sua substituição por arquivos maliciosos, instalando, em última análise, um backdoor conhecido como GuptiMiner.

A natureza complexa do ataque envolveu uma cadeia de infecções. Inicialmente, os aplicativos eScan se comunicavam com o sistema de atualização, proporcionando uma oportunidade para os agentes da ameaça interceptarem e substituirem os pacotes de atualização. O método exacto de intercepção permanece obscuro, embora os investigadores especulem que as redes comprometidas podem ter facilitado o redireccionamento malicioso do tráfego. Para evitar a detecção, o malware empregou o sequestro de DLL e utilizou servidores de sistema de nomes de domínio (DNS) personalizados para se conectar a canais controlados pelo invasor. As iterações posteriores do ataque empregaram mascaramento de endereço de IP para ofuscar a infraestrutura de comando e controle (C&C).

Além disso, algumas variantes do malware ocultaram seu código malicioso em arquivos de imagem, tornando a detecção mais desafiadora. Além disso, os invasores instalaram um certificado TLS raiz personalizado para atender aos requisitos de assinatura digital de determinados sistemas, garantindo a instalação bem-sucedida do malware. Surpreendentemente, junto com o backdoor, a carga útil incluía o XMRig, um software de mineração de cripto-moedas de código aberto, levantando questões sobre os motivos dos invasores.

A operação do GuptiMiner revelou falhas de segurança significativas nas práticas do eScan, incluindo a falta de HTTPS para entrega de atualizações e a ausência de assinatura digital para verificar a integridade das atualizações. Apesar dessas deficiências, o eScan não respondeu às perguntas sobre o design do processo de atualização.

Os usuários do eScan Antivirus são aconselhados a revisar a postagem do Avast para obter informações sobre possíveis infecções, embora seja provável que os programas antivírus mais confiáveis detectem essa ameaça. Este incidente sublinha a importância de medidas de segurança robustas na proteção contra ataques cibernéticos sofisticados.