El servei antivirus eScan que lliurava actualitzacions per HTTP va ser atacat i infectat per pirates informàtics

Els pirates informàtics van explotar una vulnerabilitat en un servei antivirus per distribuir programari maliciós a usuaris desprevinguts durant cinc anys. L'atac es va dirigir a eScan Antivirus, una empresa amb seu a l'Índia, que havia estat lliurant actualitzacions per HTTP, un protocol conegut per la seva susceptibilitat als ciberatacs que manipulen o comprometen dades durant la transmissió. Els investigadors de seguretat d'Avast van revelar que els autors, possiblement vinculats al govern de Corea del Nord, van executar un sofisticat atac d'home-in-the-middle (MitM). Aquesta tàctica consistia a interceptar actualitzacions legítimes dels servidors d'eScan i substituir-les per fitxers maliciosos, i finalment instal·lar una porta posterior coneguda com GuptiMiner.

La naturalesa complexa de l'atac va implicar una cadena d'infeccions. Inicialment, les aplicacions eScan es comunicaven amb el sistema d'actualització, oferint l'oportunitat als actors d'amenaça d'interceptar i substituir els paquets d'actualització. El mètode exacte d'intercepció no està clar, tot i que els investigadors especulen que les xarxes compromeses poden haver facilitat la redirecció maliciosa del trànsit. Per evitar la detecció, el programari maliciós va utilitzar el segrest de DLL i va utilitzar servidors de sistema de noms de domini (DNS) personalitzats per connectar-se a canals controlats per l'atacant. Les iteracions posteriors de l'atac van utilitzar l'emmascarament d'adreces IP per ofuscar la infraestructura de comandament i control (C&C) .

A més, algunes variants del programari maliciós amagaven el seu codi maliciós dins dels fitxers d'imatge, fent que la detecció sigui més difícil. A més, els atacants van instal·lar un certificat TLS arrel personalitzat per complir els requisits de signatura digital de determinats sistemes, garantint la instal·lació correcta del programari maliciós. Sorprenentment, al costat de la porta del darrere, la càrrega útil incloïa XMRig , un programari de mineria de criptomoneda de codi obert, que va plantejar preguntes sobre els motius dels atacants.

L'operació de GuptiMiner va revelar defectes de seguretat importants en les pràctiques d'eScan, inclosa la manca d'HTTPS per al lliurament d'actualitzacions i l'absència de signatura digital per verificar la integritat de l'actualització. Malgrat aquestes mancances, eScan no va respondre a les consultes sobre el disseny del seu procés d'actualització.

Es recomana als usuaris d'eScan Antivirus que revisin la publicació d'Avast per obtenir informació sobre possibles infeccions, tot i que és probable que la majoria de programes antivirus de bona reputació detectin aquesta amenaça. Aquest incident subratlla la importància de mesures de seguretat sòlides per protegir-se dels ciberatacs sofisticats.