Les chercheurs en sécurité d’Avast ont découvert une vaste cyberattaque impliquant eScan, un antivirus en provenance d’Inde. Apparemment, des cybercriminels sont parvenus à détourner le logiciel pour propager des programmes malveillants sur des ordinateurs. Aux origines, l’opération repose sur une attaque « man-in-the-middle » (MitM), une forme d’offensive où un pirate se positionne discrètement entre deux parties. En l’occurrence, les cybercriminels se sont interposés entre l’antivirus et les utilisateurs.
Concrètement, les hackers ont intercepté l’une des mises à jour HTTP déployées par les équipes d’eScan aux alentours de 2019. Comme l’explique Ars Technica, qui relaie le rapport d’Avast, le protocole HTTP est vulnérable aux attaques. Il est en effet possible de corrompre ou de modifier les données, car celles-ci ne sont pas chiffrées. Pour le moment, Avast ignore comment les attaquants ont pu intercepter les informations.
À lire aussi : les pirates russes de Forest Blizzard exploitent une faille Windows pour voler des mots de passe
Un logiciel de minage de cryptomonnaies
Les pirates ont remplacé les données transmises par les équipes d’eScan par des fichiers malveillants. De facto, l’antivirus s’est mis à installer un malware sur l’ordinateur de ses usagers. D’après les chercheurs d’Avast, il s’agit de GuptiMiner. Ce virus, en activité depuis 2018, est conçu pour installer des portes dérobées sur les machines infectées.
Par ailleurs, le malware est aussi programmé pour injecter XMRig. Ce logiciel open source utilise la puissance du CPU et du GPU de l’ordinateur pour miner des cryptomonnaies, à l’insu des utilisateurs. Par ailleurs, une porte dérobée « analyse les appareils à la recherche de clés privées stockées localement ». Ces clés privées permettent d’accéder à des portefeuilles détenant des cryptomonnaies sur la blockchain. Avast indique que GuptiMiner cible surtout les réseaux d’entreprises.
Une cyberattaque venue de la Corée du Nord ?
Après enquête, Avast estime qu’il est probable que la cyberattaque a été orchestrée par les cybercriminels de Kimsuky. Financé par le gouvernement de la Corée du Nord, ce gang, également connu sous le nom de Black Banshee, est spécialisé dans les opérations d’espionnage visant des pays étrangers, dont la Corée du Sud. Les chercheurs ont en effet découvert des éléments similaires dans le code d’un keylogger utilisé par Kimsuky et dans Guptiminer. Kimsuky emploie en effet divers outils d’espionnage, y compris des keyloggers, pour infiltrer et surveiller ses cibles.
De plus, on rappellera que les hackers parrainés par la Corée du Nord sont généralement friands de cryptomonnaies. Pour dégager des revenus en monnaies numériques, l’État nord-coréen s’appuie en effet sur une petite armée de pirates. Certains d’entre eux orchestrent aussi des cyberattaques contre des protocoles et des services de la finance décentralisée. C’est le cas du gang Lazarus (aussi connu sous le nom d’APT38). Ce groupe est soupçonné d’avoir volé 100 millions de dollars en cryptomonnaies sur la blockchain Harmony et 624 millions de dollars sur le Ronin Network.
Pour éviter ce type de cyberattaques, les développeurs d’eScan auraient dû passer au protocole HTTPS, qui utilise le chiffrement SSL/TLS pour protéger les données échangées. Alerté par Avast, eScan a corrigé la faille à l’origine de l’attaque l’été dernier.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Avast