Хакери су напали и заразили еСцан Антивирус услугу која испоручује ажурирања преко ХТТП-а

Хакери су користили рањивост у антивирусној услузи да дистрибуирају малвер корисницима који ништа не сумњају у невероватних пет година. Напад је био усмерен на еСцан Антивирус, компанију са седиштем у Индији, која је испоручивала ажурирања преко ХТТП-а, протокола познатог по својој подложности сајбер нападима који манипулишу или компромитују податке током преноса. Истраживачи безбедности из Аваст-а открили су да су починиоци, вероватно повезани са владом Северне Кореје, извршили софистицирани напад човек у средини (МитМ). Ова тактика је укључивала пресретање легитимних ажурирања са еСцан-ових сервера и њихову замену злонамерним датотекама, на крају инсталирајући бацкдоор познат као ГуптиМинер.

Сложена природа напада укључивала је низ инфекција. У почетку су еСцан апликације комуницирале са системом ажурирања, пружајући могућност претњама да пресретну и замене пакете ажурирања. Тачан метод пресретања остаје нејасан, иако истраживачи спекулишу да су компромитоване мреже можда олакшале злонамерно преусмеравање саобраћаја. Да би избегао откривање, малвер је користио ДЛЛ отмицу и користио сервере прилагођеног система имена домена (ДНС) за повезивање са каналима које контролише нападач. Касније итерације напада су користиле маскирање ИП адресе да би замаглиле инфраструктуру команде и контроле (Ц&Ц) .

Поред тога, неке варијанте злонамерног софтвера су сакриле свој злонамерни код у сликовним датотекама, чинећи откривање још изазовнијим. Штавише, нападачи су инсталирали прилагођени роот ТЛС сертификат да би испунили захтеве за дигитално потписивање одређених система, обезбеђујући успешну инсталацију малвера. Изненађујуће, поред бацкдоор-а, корисни терет је укључивао КСМРиг , софтвер за рударење криптовалута отвореног кода, што је изазвало питања о мотивима нападача.

Операција ГуптиМинер открила је значајне безбедносне пропусте у пракси еСцан-а, укључујући недостатак ХТТПС-а за испоруку ажурирања и одсуство дигиталног потписивања за верификацију интегритета ажурирања. Упркос овим недостацима, еСцан није одговорио на упите у вези са дизајном њиховог процеса ажурирања.

Корисницима еСцан Антивируса се саветује да прегледају Авастов пост ради информација о потенцијалним инфекцијама, иако је вероватно да ће већина реномираних антивирусних програма открити ову претњу. Овај инцидент наглашава важност снажних безбедносних мера у заштити од софистицираних сајбер напада.