Aanvallers verspreiden backdoor via updateproces antivirussoftware eScan

[Captain Kirk]

Aanvallers hebben via het updatemechanisme van virusscanner eScan een onbekend aantal organisaties met backdoors en cryptominers geïnfecteerd. Dat laat antivirusbedrijf Avast weten. De antivirussoftware van eScan maakte standaard altijd via http verbinding voor het downloaden van updates. De aanvallers wisten door middel van een man-in-the-middle (mitm) aanval een malafide update bij aangevallen organisaties te verspreiden.

Vervolgens voert de virusscanner de malafide update uit en wordt het systeem geïnfecteerd. De updates werden wel gecontroleerd, maar via een malafide dll die gesideload werd kon de malware worden uitgevoerd. Hoe de aanvallers de mitm-aanval konden uitvoeren is onbekend, maar Avast denkt dat de aanvallers al toegang tot het systeem of het netwerk van de aangevallen organisatie hadden en zo het verkeer konden omleiden. Bij de aanval werden twee soorten backdoors ingezet, gericht op grote bedrijfsnetwerken.

Daarnaast worden besmette systemen geïnfecteerd met een cryptominer die de rekenkracht van de computer gebruikt voor het minen van cryptovaluta. Avast waarschuwde eScan. De virusbestrijder laat weten dat de nieuwste versies van de antivirussoftware gebruikmaken van https voor het downloaden van updates. Volgens Avast hebben de aanvallers mogelijk banden met een Noord-Koreaanse aanvalsgroep.

 

bron: https://www.security.nl