El servicio antivirus eScan que ofrece actualizaciones a través de HTTP fue atacado e infectado por piratas informáticos

Los piratas informáticos explotaron una vulnerabilidad en un servicio antivirus para distribuir malware a usuarios desprevenidos durante cinco años. El ataque tuvo como objetivo eScan Antivirus, una empresa con sede en India, que había estado entregando actualizaciones a través de HTTP, un protocolo conocido por su susceptibilidad a ataques cibernéticos que manipulan o comprometen los datos durante la transmisión. Los investigadores de seguridad de Avast revelaron que los perpetradores, posiblemente vinculados al gobierno de Corea del Norte, ejecutaron un sofisticado ataque de intermediario (MitM). Esta táctica implicó interceptar actualizaciones legítimas de los servidores de eScan y reemplazarlas con archivos maliciosos, para finalmente instalar una puerta trasera conocida como GuptiMiner.

La compleja naturaleza del ataque implicó una cadena de infecciones. Inicialmente, las aplicaciones eScan se comunicaban con el sistema de actualización, brindando una oportunidad para que los actores de amenazas interceptaran y reemplazaran los paquetes de actualización. El método exacto de interceptación aún no está claro, aunque los investigadores especulan que las redes comprometidas pueden haber facilitado la redirección maliciosa del tráfico. Para evadir la detección, el malware empleó el secuestro de DLL y utilizó servidores de sistema de nombres de dominio (DNS) personalizados para conectarse a canales controlados por el atacante. Las iteraciones posteriores del ataque emplearon enmascaramiento de direcciones IP para ofuscar la infraestructura de comando y control (C&C) .

Además, algunas variantes del malware ocultaban su código malicioso dentro de archivos de imagen, lo que dificultaba la detección. Además, los atacantes instalaron un certificado TLS raíz personalizado para cumplir con los requisitos de firma digital de ciertos sistemas, lo que garantizó la instalación exitosa del malware. Sorprendentemente, junto con la puerta trasera, la carga útil incluía XMRig , un software de minería de criptomonedas de código abierto, lo que plantea dudas sobre los motivos de los atacantes.

La operación GuptiMiner reveló importantes fallas de seguridad en las prácticas de eScan, incluida la falta de HTTPS para la entrega de actualizaciones y la ausencia de firma digital para verificar la integridad de las actualizaciones. A pesar de estas deficiencias, eScan no respondió a las consultas sobre el diseño de su proceso de actualización.

Se recomienda a los usuarios de eScan Antivirus que revisen la publicación de Avast para obtener información sobre posibles infecciones, aunque es probable que los programas antivirus más acreditados detecten esta amenaza. Este incidente subraya la importancia de medidas de seguridad sólidas para protegerse contra ataques cibernéticos sofisticados.