As técnicas utilizadas pelos cibercriminosos para atingir os seus objetivos nunca deixam de nos surpreender. Há algumas semanas falamos sobre os perigos de uma versão trojanizada do McAfee Security que conseguiu infectar usuários do Android. Hoje é hora de mencionar um software antivírus legítimo que foi usado como meio de distribuir malware.
Este é o eScan, uma solução de segurança desenvolvida pela MicroWorld Technologies para Windows que não conseguiu proteger idealmente seus clientes. Os antivírus não são perfeitos e nem sempre conseguem impedir as ameaças, mas o que os especialistas da Avast descobriram sobre o referido produto é muito interessante.
Malware que chega através do seu antivírus
Como sabemos, o antivírus que utilizamos em nossos computadores deve ter acesso à Internet para se manter atualizado. Estes se conectam ao servidores autorizados pelo desenvolvedor para obter as definições mais recentes. E se alguém pudesse comprometer a comunicação entre o cliente e o servidor e acabar infectando os usuários?
Isso pode ser um pouco desafiador em um mundo onde prevalecem conexões seguras sob o protocolo HTTPS. O curioso é que o eScan obteve suas atualizações através do HTTP, protocolo que não apenas expõe os dados transferidos, mas também se apresenta como um cenário ideal para desenvolver diversos ataques.
Os cibercriminosos aproveitaram esse ponto fraco do eScan para montar um ataque Man-in-the-Middle. Consistia em interceptar comunicações entre cliente e servidor e substitua a atualização por um malware conhecido como GuptiMiner. Tudo isso, através de uma mecânica tão sofisticada quanto eficaz.
Na imagem criada pelos pesquisadores da Avast podemos ver alguns detalhes da cadeia de infecção. Para atingir seu objetivo e evitar a detecção, os cibercriminosos usaram diversas técnicas, como substituição de arquivos DLL, uso de DNS personalizado e até mesmo código malicioso escondido dentro de um arquivo de imagem.
Os pesquisadores detectaram que alguns dos computadores infectados podem ser destino de software malware. mineração de criptomoedas. O objetivo disso era usar o poder computacional do usuário infectado para obter ganhos financeiros. A grande questão é quem está por trás de toda essa mecânica sofisticada.
Encontrar os responsáveis pelos ataques é uma tarefa complexa. No entanto, a Avast aponta que o GuptiMiner tem possíveis ligações com o Kimsuky. Este último é um grupo cibercriminoso norte-coreano que se acredita ser apoiado pelo Estado. Embora, convém notar, estamos falando de uma hipótese.
Em relação à vulnerabilidade do antivírus, a Avast explica que informou o Scan e também o Indian Computer Emergency Response Team (CERT) e que o problema foi corrigido em 31 de julho de 2023. Em qualquer caso, isto convida-nos a estar muito atentos para manter a segurança das nossas equipas.
Imagens | Avast | Criador de imagens do Bing
Em Xataka | Alguém queria saber se o GPT-4 era capaz de explorar vulnerabilidades. Ele fez isso em 87% dos casos