Le service antivirus eScan fournissant des mises à jour via HTTP a été attaqué et infecté par des pirates informatiques

Les pirates ont exploité une vulnérabilité dans un service antivirus pour distribuer des logiciels malveillants à des utilisateurs sans méfiance pendant cinq ans. L'attaque visait eScan Antivirus, une société basée en Inde, qui fournissait des mises à jour via HTTP, un protocole connu pour sa vulnérabilité aux cyberattaques qui manipulent ou compromettent les données pendant la transmission. Les chercheurs en sécurité d'Avast ont révélé que les auteurs, probablement liés au gouvernement nord-coréen, ont exécuté une attaque sophistiquée de l'homme du milieu (MitM). Cette tactique consistait à intercepter les mises à jour légitimes des serveurs d'eScan et à les remplacer par des fichiers malveillants, pour finalement installer une porte dérobée connue sous le nom de GuptiMiner.

La nature complexe de l’attaque impliquait une chaîne d’infections. Initialement, les applications eScan communiquaient avec le système de mise à jour, offrant ainsi aux acteurs malveillants la possibilité d'intercepter et de remplacer les packages de mise à jour. La méthode exacte d'interception reste floue, même si les chercheurs pensent que les réseaux compromis pourraient avoir facilité la redirection malveillante du trafic. Pour échapper à la détection, le logiciel malveillant a eu recours au détournement de DLL et à des serveurs DNS (système de noms de domaine) personnalisés pour se connecter aux canaux contrôlés par les attaquants. Les itérations ultérieures de l'attaque ont utilisé le masquage d'adresse IP pour obscurcir l'infrastructure de commande et de contrôle (C&C) .

De plus, certaines variantes du malware dissimulaient leur code malveillant dans des fichiers image, ce qui rendait la détection plus difficile. De plus, les attaquants ont installé un certificat TLS racine personnalisé pour répondre aux exigences de signature numérique de certains systèmes, garantissant ainsi la réussite de l'installation du malware. Étonnamment, à côté de la porte dérobée, la charge utile comprenait XMRig , un logiciel open source d'extraction de cryptomonnaie, soulevant des questions sur les motivations des attaquants.

L'opération GuptiMiner a révélé d'importantes failles de sécurité dans les pratiques d'eScan, notamment l'absence de HTTPS pour la livraison des mises à jour et l'absence de signature numérique pour vérifier l'intégrité des mises à jour. Malgré ces lacunes, eScan n'a pas répondu aux demandes concernant la conception de son processus de mise à jour.

Il est conseillé aux utilisateurs d'eScan Antivirus de consulter la publication d'Avast pour obtenir des informations sur les infections potentielles, bien qu'il soit probable que la plupart des programmes antivirus réputés détectent cette menace. Cet incident souligne l’importance de mesures de sécurité robustes pour se prémunir contre les cyberattaques sophistiquées.