Un incident de sécurité préoccupant est survenu chez MicroWorld Technologies, l’éditeur de l’antivirus eScan. Un serveur de mise à jour compromis a permis la propagation d’un malware, rendant les corrections automatiques inopérantes. Voici les détails de cet incident qui pourrait affecter de nombreux utilisateurs.
L’essentiel à retenir
- Un serveur de mise à jour d’eScan a été compromis, permettant la diffusion d’un malware par l’infrastructure officielle de l’antivirus.
- Le malware empêche toute mise à jour automatique en modifiant la configuration du système, rendant la remédiation complexe.
- Il est recommandé d’isoler les machines potentiellement infectées et de contacter eScan pour obtenir un correctif manuel.
Compromission du serveur de mise à jour d’eScan
Mi-janvier, certains utilisateurs d’eScan ont téléchargé un correctif infecté suite à la compromission d’un serveur de mise à jour. Cette attaque a été détaillée dans un rapport de la société de sécurité Morphisec, qui décrit comment un composant altéré a été introduit dans l’infrastructure officielle, permettant le déploiement progressif d’un malware.
Le malware a pour but d’altérer la configuration du produit et certains réglages système, bloquant ainsi les mises à jour futures. Cela rend la remédiation automatique impossible, nécessitant une intervention manuelle pour résoudre le problème.
Fonctionnement et persistance du malware
Le 20 janvier, un composant eScan, Reload.exe, a été remplacé par une version modifiée. Ce binaire infecté dépose ensuite une charge additionnelle, CONSCTLX.exe, qui sert de downloader pour récupérer d’autres éléments malveillants à distance.
Le malware est conçu pour persister après un redémarrage du système, en créant des tâches planifiées sous Windows et en ajoutant des entrées dans le registre. Ces actions permettent de relancer des commandes via PowerShell, rendant l’infection durable.
Communication avec des serveurs contrôlés par l’attaquant
Une fois installé, le malware établit des connexions avec des serveurs sous le contrôle de l’attaquant. Plusieurs domaines et adresses IP sont associés à cette infrastructure, bien que leur statut ne soit pas encore confirmé. Par mesure de précaution, il est recommandé de bloquer ces adresses.
La charge malveillante cherche également à empêcher eScan de se mettre à jour en modifiant le fichier hosts et certains paramètres liés à l’antivirus, empêchant ainsi toute communication avec les serveurs d’update.
Mesures de protection recommandées
Il est impératif d’identifier les machines potentiellement affectées. Les utilisateurs d’eScan dont les mises à jour étaient actives autour du 20 janvier doivent traiter leur système comme compromis.
Morphisec fournit une liste d’indicateurs de compromission pour détecter les fichiers suspects, les tâches planifiées anormales et les modifications du fichier hosts ou des paramètres antivirus. En cas de doute, il est conseillé d’isoler le PC et de contacter eScan pour obtenir et installer manuellement le correctif nécessaire.
Enfin, étant donné que le malware communique avec des serveurs distants, changer les identifiants de connexion par précaution est recommandé.
Contexte et impact de l’incident sur MicroWorld Technologies
MicroWorld Technologies, l’éditeur d’eScan, est un acteur reconnu dans le domaine de la cybersécurité. Cependant, cet incident met en lumière les vulnérabilités potentielles des infrastructures de mise à jour, qui sont souvent la cible des cyberattaques.
Dans l’écosystème des antivirus, eScan se place parmi des concurrents tels que Norton, McAfee et Kaspersky, qui ont également fait face à des défis similaires par le passé. Cet incident rappelle aux utilisateurs l’importance de maintenir une vigilance constante et de prendre des mesures proactives pour protéger leurs systèmes contre de telles menaces.
Source : https://www.emarketerz.fr/antivirus-escan-diffusion-dun-malware-par-mise-a-jour-les-faits/