Une récente campagne de malware a exploité la mécanique de mise à jour de l’antivirus eScan pour diffuser des porte-dérobées et des mineurs de cryptomonnaie. Les chercheurs d’Avast ont découvert que les acteurs de la menace avaient utilisé une faille dans ce mécanisme de mise à jour pour mener une attaque de type « homme du milieu », substituant ainsi le paquet de mise à jour légitime par un malveillant.
Le malware, surnommé « GuptiMiner », a employé des techniques sophistiquées incluant des demandes DNS vers des serveurs contrôlés par les attaquants et l’extraction de charges malveillantes à partir d’images anodines. Le but principal de GuptiMiner est de distribuer des porte-dérobées au sein de grands réseaux d’entreprises, facilitant ainsi le minage de cryptomonnaie et l’exécution d’actions ultérieures malveillantes comme le vol de données.
Pour illustrer ce processus, imaginons que vous avez un jardin bien clôturé (le réseau de l’entreprise). GuptiMiner trouve un petit trou dans la clôture (la faille dans le mécanisme de mise à jour), s’y faufile discrètement et ouvre une porte pour ses complices (les malwares) qui s’introduisent pour récolter des fruits sans que vous ne vous en rendiez compte.
Il est crucial de s’assurer que les mises à jour de vos logiciels sont effectuées via des connexions sécurisées (HTTPS par exemple) pour éviter ce type d’intrusion.
