Il servizio antivirus eScan che fornisce aggiornamenti tramite HTTP è stato attaccato e infettato dagli hacker

Gli hacker hanno sfruttato una vulnerabilità in un servizio antivirus per distribuire malware a utenti ignari per l'incredibile cifra di cinque anni. L’attacco ha preso di mira eScan Antivirus, una società con sede in India, che forniva aggiornamenti tramite HTTP, un protocollo noto per la sua suscettibilità agli attacchi informatici che manipolano o compromettono i dati durante la trasmissione. I ricercatori di sicurezza di Avast hanno rivelato che gli autori, probabilmente collegati al governo nordcoreano, hanno eseguito un sofisticato attacco man-in-the-middle (MitM). Questa tattica prevedeva l'intercettazione di aggiornamenti legittimi dai server di eScan e la loro sostituzione con file dannosi, installando infine una backdoor nota come GuptiMiner.

La natura complessa dell'attacco ha comportato una catena di infezioni. Inizialmente, le applicazioni eScan comunicavano con il sistema di aggiornamento, offrendo agli autori delle minacce l'opportunità di intercettare e sostituire i pacchetti di aggiornamento. L’esatto metodo di intercettazione rimane poco chiaro, anche se i ricercatori ipotizzano che le reti compromesse possano aver facilitato il reindirizzamento dannoso del traffico. Per eludere il rilevamento, il malware ha utilizzato il dirottamento DLL e ha utilizzato server DNS (Domain Name System) personalizzati per connettersi ai canali controllati dagli aggressori. Le successive iterazioni dell'attacco hanno utilizzato il mascheramento degli indirizzi IP per offuscare l'infrastruttura di comando e controllo (C&C) .

Inoltre, alcune varianti del malware nascondevano il codice dannoso all'interno dei file di immagine, rendendo il rilevamento più difficile. Inoltre, gli aggressori hanno installato un certificato root TLS personalizzato per soddisfare i requisiti di firma digitale di determinati sistemi, garantendo la corretta installazione del malware. Sorprendentemente, oltre alla backdoor, il payload includeva XMRig , un software di mining di criptovaluta open source, sollevando dubbi sulle motivazioni degli aggressori.

L'operazione GuptiMiner ha rivelato notevoli falle di sicurezza nelle pratiche di eScan, inclusa la mancanza di HTTPS per la consegna degli aggiornamenti e l'assenza di firma digitale per verificare l'integrità degli aggiornamenti. Nonostante queste carenze, eScan non ha risposto alle domande riguardanti la progettazione del processo di aggiornamento.

Si consiglia agli utenti di eScan Antivirus di leggere il post di Avast per informazioni su potenziali infezioni, anche se è probabile che i programmi antivirus più affidabili rilevino questa minaccia. Questo incidente sottolinea l’importanza di solide misure di sicurezza nella salvaguardia da attacchi informatici sofisticati.