De eScan Antivirus-service die updates via HTTP levert, is aangevallen en geïnfecteerd door hackers

Hackers hebben maar liefst vijf jaar lang misbruik gemaakt van een kwetsbaarheid in een antivirusservice om malware te verspreiden onder nietsvermoedende gebruikers. De aanval was gericht tegen eScan Antivirus, een bedrijf gevestigd in India, dat updates leverde via HTTP, een protocol dat bekend staat om zijn gevoeligheid voor cyberaanvallen die gegevens manipuleren of compromitteren tijdens de overdracht. Beveiligingsonderzoekers van Avast onthulden dat de daders, mogelijk verbonden met de Noord-Koreaanse regering, een geavanceerde man-in-the-middle-aanval (MitM) uitvoerden. Deze tactiek omvatte het onderscheppen van legitieme updates van de servers van eScan en het vervangen ervan door kwaadaardige bestanden, waardoor uiteindelijk een achterdeur werd geïnstalleerd die bekend staat als GuptiMiner.

De complexe aard van de aanval bracht een reeks infecties met zich mee. Aanvankelijk communiceerden eScan-applicaties met het updatesysteem, waardoor bedreigingsactoren de kans kregen de updatepakketten te onderscheppen en te vervangen. De exacte onderscheppingsmethode blijft onduidelijk, hoewel onderzoekers speculeren dat gecompromitteerde netwerken mogelijk de kwaadwillige omleiding van verkeer hebben vergemakkelijkt. Om detectie te omzeilen, maakte de malware gebruik van DLL-kaping en aangepaste DNS-servers (Domain Name System) om verbinding te maken met door de aanvaller gecontroleerde kanalen. Bij latere herhalingen van de aanval werd IP-adresmaskering gebruikt om de command-and-control (C&C)-infrastructuur te verdoezelen .

Bovendien verborgen sommige varianten van de malware hun kwaadaardige code in afbeeldingsbestanden, waardoor detectie een grotere uitdaging werd. Bovendien installeerden de aanvallers een aangepast root-TLS-certificaat om te voldoen aan de vereisten voor digitale ondertekening van bepaalde systemen, waardoor de succesvolle installatie van de malware werd gegarandeerd. Verrassend genoeg bevatte de lading naast de achterdeur XMRig , een open-source cryptocurrency mining-software, die vragen opriep over de motieven van de aanvallers.

De GuptiMiner-operatie bracht aanzienlijke beveiligingsfouten in de praktijken van eScan aan het licht, waaronder het ontbreken van HTTPS voor het leveren van updates en het ontbreken van digitale ondertekening om de update-integriteit te verifiëren. Ondanks deze tekortkomingen reageerde eScan niet op vragen over het ontwerp van het updateproces.

Gebruikers van eScan Antivirus wordt geadviseerd om het bericht van Avast te lezen voor informatie over mogelijke infecties, hoewel het waarschijnlijk is dat de meeste gerenommeerde antivirusprogramma's deze bedreiging zouden detecteren. Dit incident onderstreept het belang van robuuste beveiligingsmaatregelen als bescherming tegen geavanceerde cyberaanvallen.