L'antivirus eScan compromis, le malware GuptiMiner déployé via des mises à jour
Les attaques de malware deviennent plus fréquentes que jamais. Le dernier en date est eScan, un fournisseur d’antivirus basé en Inde, compromis par des acteurs malveillants pour charger le malware GuptiMiner sur le PC de l’utilisateur final.
Les acteurs malveillants ont exploité le processus de mise à jour d’eScan car il s’appuyait sur HTTP pour diffuser des mises à jour, au lieu du protocole HTTPS plus récent et plus sécurisé, afin de charger le malware.
Des chercheurs de Avast ont été les premiers à identifier la vulnérabilité et à la partager avec eScan. Ce dernier a reconnu les failles dans le processus de mise à jour et les a corrigées le 31 juillet 2023.
Avast décrit le malware GuptiMiner comme suit :
GuptiMiner est une menace hautement sophistiquée qui utilise une chaîne d’infection intéressante ainsi que quelques techniques qui incluent l’exécution de requêtes DNS vers les serveurs DNS de l’attaquant, le chargement latéral, l’extraction de charges utiles à partir d’images ressemblant à des innocentes, la signature de ses charges utiles avec une autorité de certification d’ancrage racine de confiance personnalisée, entre autres. L’objectif principal de GuptiMiner est de distribuer des portes dérobées au sein de grands réseaux d’entreprises.
Le rapport relie également le malware GuptiMiner au groupe de hackers soutenu par l’État nord-coréen Kimsuky.
Analyse de l’attaque GuptiMiner à travers les mises à jour d’eScan
Les acteurs malveillants ont utilisé l’attaque Man-in-the-Middle (MitM) pour distribuer le malware parmi des utilisateurs non méfiants. Cela commence par l’antivirus demandant un package de mise à jour au serveur, que les acteurs malveillants interceptent et remplacent par un package malveillant.
Bien que le package malveillant contienne les mises à jour pertinentes, il télécharge également un fichier version.dll infecté, qui a les mêmes autorisations que l’antivirus. Au prochain redémarrage, la DLL télécharge des fichiers supplémentaires à partir du serveur de l’attaquant, à quel point le PC est complètement compromis. 
Source de l’image : Avast Avast rapporte que le malware GuptiMiner vérifie également les processus actifs de Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer et Process Monitor et termine toutes les instances de Cisco Talos Intelligence et AhnLab.
Bien que le véritable motif de l’attaque reste inconnu, elle a effectivement chargé XMRig, un package pour miner des cryptomonnaies. En dehors de cela, l’attaque a déployé deux portes dérobées, l’une pour scanner le réseau à la recherche de systèmes vulnérables et l’autre pour scanner le PC à la recherche de portefeuilles de cryptomonnaies et de clés privées stockées.
Lorsque BleepingComputer a contacté eScan pour un commentaire, ce dernier a confirmé avoir reçu des rapports similaires en 2019 et les avoir résolus en 2020. De plus, il a commencé à faciliter les téléchargements via HTTPS pour tirer parti des capacités de chiffrement du protocole.
Si vous êtes un utilisateur de l’antivirus eScan, nous vous recommandons de contacter immédiatement les développeurs et de demander quels changements peuvent être mis en œuvre de votre côté pour une expérience plus sûre.
L’incident eScan GuptiMiner met en évidence que même les antivirus sont vulnérables aux attaques. Et bien qu’il n’existe pas de protection absolue, utiliser une solution antivirus efficace peut réduire la possibilité de telles attaques.
Quel est votre avis sur les acteurs malveillants déployant GuptiMiner via les mises à jour d’eScan ? Partagez avec nos lecteurs dans la section des commentaires.
