Los atacantes comprometieron el sistema de actualización de eScan y reemplazaron las actualizaciones genuinas por malware para minar criptomonedas

Buenos Aires-(Nomyc)-Las técnicas de los delincuente informáticos para conseguir sus objetivos se actualizan de maenra constante y hace unas semanas se informaba sobre los peligros de una versión troyanizada McAfee Security que infectó a usuarios de Android y hoy se mencióna a un software antivirus legítimo, que fue utilizado como vía para distribuir malware.

Se trata de eScan, una solución de seguridad desarrollada por MicroWorld Technologies para Windows que no logró proteger de manera eficiente a sus clientes, aunque se sabe que los antivirus no son perfectos y no siempre pueden atajar las amenazas, pero lo que descubrieron los especialistas de Avast sobre el mencionado producto es muy interesante.

Malware que llega a través de tu antivirus: como se sabe, los antivirus que utilizamos en nuestros equipos deben tener acceso a Internet para mantenerse actualizados, ya que se conectan a los servidores autorizados por el desarrollador para obtener las últimas definiciones, pero ¿qué pasa si alguien comprometiera la comunicación entre el cliente y el servidor para acabar infectando a los usuarios?

Esto puede resultar desafiante en un mundo donde prevalecen las conexiones seguras bajo el protocolo HTTPS y lo curioso, es que eScan obtenía sus actualizaciones a través de HTTP, un protocolo que no solo expone los datos transferidos, sino que también se presenta como un escenario ideal para desarrollar diferentes ataques.

Los ciberdelincuentes aprovecharon este punto débil de eScan para atacar de una manera que se denomina Man-in-the-Middle y consiste en interceptar las comunicaciones entre el cliente y el servidor y reemplazar la actualización por un malware conocido como “GuptiMiner”, todo a través de una mecánica tan sofisticada como efectiva.

En la imagen elaborada por los investigadores de Avast pudieron ver bastantes detalles de la cadena de infección y para conseguir su objetivo y evitar la detección, los ciberdelincuentes utilizaron varias técnicas, como el reemplazo de archivos DLL, la utilización de DNS personalizados e incluso código malicioso escondido dentro de un archivo de imagen.

Los investigadores detectaron que algunos de los equipos infectados podían ser el destino de un software de minería de criptomonedas, con el objetivo de utilizar la capacidad de cómputo del usuario infectado para obtener beneficios económicos, aunque no se sabe quién está detrás de toda esta sofisticada mecánica.

Hallar a los responsables de los ataques es una tarea compleja, aunque desde Avast señalan que GuptiMiner tiene posibles vínculos con Kimsuky, quien es un grupo de ciberdelincuentes de Corea del Norte que se cree que está respaldado por el Estado, mas alla de que hasta ahora, es una hipótesis.

En relación a la vulnerabilidad del antivirus, Avast explica que informó a Scan como al equipo indio de respuesta a emergencias informáticas (CERT) y que el problema fue subsanado el 31 de julio de 2023 y en cualquier caso, esto nos invita a estar muy atentos para mantener la seguridad de nuestros equipos.

Nomyc-26-4-24