Serviciul antivirus eScan care furnizează actualizări prin HTTP a fost atacat și infectat de hackeri
Hackerii au exploatat o vulnerabilitate dintr-un serviciu antivirus pentru a distribui malware utilizatorilor nebănuiți timp de cinci ani. Atacul a vizat eScan Antivirus, o companie cu sediul în India, care a furnizat actualizări prin HTTP, un protocol cunoscut pentru susceptibilitatea sa la atacuri cibernetice care manipulează sau compromit datele în timpul transmiterii. Cercetătorii de securitate de la Avast au dezvăluit că făptuitorii, posibil legați de guvernul nord-coreean, au executat un atac sofisticat de tip Man-in-the-Middle (MitM). Această tactică a implicat interceptarea actualizărilor legitime de pe serverele eScan și înlocuirea lor cu fișiere rău intenționate, instalând în cele din urmă o ușă din spate cunoscută sub numele de GuptiMiner.
Natura complexă a atacului a implicat un lanț de infecții. Inițial, aplicațiile eScan comunicau cu sistemul de actualizare, oferind o oportunitate pentru actorii amenințărilor de a intercepta și înlocui pachetele de actualizare. Metoda exactă de interceptare rămâne neclară, deși cercetătorii speculează că rețelele compromise ar fi putut facilita redirecționarea rău intenționată a traficului. Pentru a evita detectarea, malware-ul a folosit deturnarea DLL și a folosit servere personalizate de sistem de nume de domeniu (DNS) pentru a se conecta la canale controlate de atacatori. Iterațiile ulterioare ale atacului au folosit mascarea adresei IP pentru a ofusca infrastructura de comandă și control (C&C) .
În plus, unele variante ale malware-ului și-au ascuns codul rău intenționat în fișierele imagine, făcând detectarea mai dificilă. Mai mult, atacatorii au instalat un certificat TLS root personalizat pentru a îndeplini cerințele de semnare digitală ale anumitor sisteme, asigurând instalarea cu succes a malware-ului. În mod surprinzător, alături de ușa din spate, încărcătura utilă a inclus XMRig , un software de exploatare a criptomonedei cu sursă deschisă, ridicând întrebări despre motivele atacatorilor.
Operațiunea GuptiMiner a dezvăluit defecte semnificative de securitate în practicile eScan, inclusiv lipsa HTTPS pentru livrarea actualizărilor și absența semnării digitale pentru a verifica integritatea actualizării. În ciuda acestor deficiențe, eScan nu a răspuns întrebărilor referitoare la proiectarea procesului de actualizare.
Utilizatorii eScan Antivirus sunt sfătuiți să examineze postarea Avast pentru informații despre potențialele infecții, deși este probabil ca majoritatea programelor antivirus de renume să detecteze această amenințare. Acest incident subliniază importanța măsurilor de securitate robuste în protecția împotriva atacurilor cibernetice sofisticate.