Une Nouvelle Menace de Cybersécurité Exploite eScan Antivirus
Une récente campagne malveillante utilise le mécanisme de mise à jour d’eScan antivirus pour diffuser des portes dérobées et des mineurs de cryptomonnaie à travers une menace nommée GuptiMiner, visant de grands réseaux d’entreprises. Détectée par Avast, cette menace serait liée à un groupe de hackers nord-coréens, connu sous plusieurs noms dont Kimsuky.
Le Modus Operandi de GuptiMiner
Le processus d’infection repose sur une faille de sécurité dans le mécanisme de mise à jour de l’antivirus eScan, exploitée à travers une attaque de type adversaire-au-milieu (AitM), où le fichier de mise à jour est remplacé par une version malveillante. Ce stratagème, qui aurait échappé à la vigilance durant cinq ans, a été corrigé fin juillet 2023.
L’exploit commence par un chargement de fichier PNG malveillant qui, une fois exécuté, contacte un serveur de commande via des serveurs DNS malveillants pour déployer le mineur de cryptomonnaie XMRig et d’autres portes dérobées. Ce malware multi-étapes, appelé Puppeteer, tire les ficelles en coulisses, masquant potentiellement l’étendue réelle de l’infiltration.
Pour simplifier, imaginez un chef d’orchestre (Puppeteer) qui dirige discrètement chaque instrumentiste (composants du malware) pour jouer une symphonie, tout en restant caché du public.
Conseils pour se Protéger
Il est crucial de s’assurer que vos logiciels antivirus utilisent des canaux de mise à jour sécurisés, notamment le protocole HTTPS, pour se prémunir contre de telles attaques. Une vigilance accrue et des mises à jour régulières sont vos meilleurs alliés contre les intrusions malveillantes.
Gardez un œil sur vos systèmes, et ne sous-estimez jamais l’importance de la sécurité en ligne. Rester informé et préparé est la clé pour contrer efficacement ces menaces.
