Der eScan Antivirus-Dienst, der Updates über HTTP liefert, wurde von Hackern angegriffen und infiziert

Hacker nutzten eine Schwachstelle in einem Antivirendienst aus, um unglaubliche fünf Jahre lang Malware an ahnungslose Benutzer zu verteilen. Der Angriff zielte auf eScan Antivirus, ein in Indien ansässiges Unternehmen, das Updates über HTTP auslieferte, ein Protokoll, das für seine Anfälligkeit für Cyberangriffe bekannt ist, bei denen Daten während der Übertragung manipuliert oder kompromittiert werden. Sicherheitsforscher von Avast enthüllten, dass die Täter, die möglicherweise mit der nordkoreanischen Regierung in Verbindung stehen, einen ausgeklügelten Man-in-the-Middle-Angriff (MitM) durchführten. Bei dieser Taktik wurden legitime Updates von den Servern von eScan abgefangen und durch bösartige Dateien ersetzt, wodurch letztendlich eine Hintertür namens GuptiMiner installiert wurde.

Der komplexe Charakter des Angriffs umfasste eine Infektionskette. Zunächst kommunizierten eScan-Anwendungen mit dem Update-System, was es Angreifern ermöglichte, die Update-Pakete abzufangen und zu ersetzen. Die genaue Methode des Abfangens ist noch unklar, obwohl Forscher spekulieren, dass kompromittierte Netzwerke die böswillige Umleitung des Datenverkehrs ermöglicht haben könnten. Um der Erkennung zu entgehen, nutzte die Malware DLL-Hijacking und benutzerdefinierte DNS-Server (Domain Name System), um sich mit vom Angreifer kontrollierten Kanälen zu verbinden. Spätere Iterationen des Angriffs nutzten IP-Adressmaskierung, um die Command-and-Control-Infrastruktur (C&C) zu verschleiern .

Darüber hinaus versteckten einige Varianten der Malware ihren Schadcode in Bilddateien, was die Erkennung erschwerte. Darüber hinaus installierten die Angreifer ein benutzerdefiniertes Root-TLS-Zertifikat, um die Anforderungen an die digitale Signatur bestimmter Systeme zu erfüllen und so die erfolgreiche Installation der Malware sicherzustellen. Überraschenderweise enthielt die Payload neben der Hintertür auch XMRig , eine Open-Source-Software zum Mining von Kryptowährungen, was Fragen zu den Motiven der Angreifer aufwirft.

Der GuptiMiner-Vorgang deckte erhebliche Sicherheitsmängel in den Praktiken von eScan auf, darunter das Fehlen von HTTPS für die Bereitstellung von Updates und das Fehlen einer digitalen Signatur zur Überprüfung der Updateintegrität. Trotz dieser Mängel antwortete eScan nicht auf Anfragen zur Gestaltung ihres Updateprozesses.

Benutzern von eScan Antivirus wird empfohlen, den Beitrag von Avast zu lesen, um Informationen zu möglichen Infektionen zu erhalten, obwohl die meisten seriösen Antivirenprogramme diese Bedrohung wahrscheinlich erkennen würden. Dieser Vorfall unterstreicht die Bedeutung robuster Sicherheitsmaßnahmen zum Schutz vor ausgeklügelten Cyberangriffen.