Des cybercriminels originaires de Corée du Nord ont une nouvelle fois démontré leur ingéniosité en exploitant un antivirus pour réaliser leurs sinistres desseins. Cette fois-ci, c’est eScan, un logiciel antivirus développé en Inde, qui a été la cible de leur stratagème diabolique.
L’histoire commence par une mise à jour apparemment anodine de eScan. Les chercheurs en sécurité d’Avast ont été les premiers à détecter une vaste cyberattaque impliquant ce logiciel antivirus. En effet, des pirates ont réussi à détourner cette mise à jour pour injecter des programmes malveillants dans les ordinateurs de leurs victimes.
Le mode opératoire de ces hackers nord-coréens est aussi sophistiqué que préoccupant. En utilisant une attaque « man-in-the-middle » (MitM), ils se sont insérés discrètement entre l’antivirus et les utilisateurs. Ainsi, ils ont pu intercepter une des mises à jour HTTP de eScan, déployée aux alentours de 2019. Cette méthode, bien que complexe, leur a permis de remplacer les fichiers légitimes par des fichiers infectés par le redoutable GuptiMiner, un malware redoutable.
GuptiMiner, actif depuis 2018, est conçu pour installer des portes dérobées sur les machines infectées. Mais ce n’est pas tout : il injecte également XMRig, un logiciel open source permettant de miner des cryptomonnaies en utilisant la puissance des CPU et des GPU des ordinateurs infectés, tout cela à l’insu des utilisateurs.
Ce n’est pas une simple opération isolée. Les chercheurs d’Avast soupçonnent fortement que cette cyberattaque soit l’œuvre du groupe de cybercriminels connu sous le nom de Kimsuky, financé par le gouvernement nord-coréen. Ce groupe est réputé pour ses activités d’espionnage ciblant principalement des pays étrangers, notamment la Corée du Sud. Les similitudes troublantes entre le code de GuptiMiner et celui d’un keylogger utilisé par Kimsuky renforcent cette hypothèse.
Il est à noter que les hackers nord-coréens ont un penchant pour les cryptomonnaies. Ils les utilisent comme source de revenus, souvent en menant des attaques contre des protocoles et des services de la finance décentralisée. Le gang Lazarus en est un exemple frappant, ayant réussi à dérober des sommes colossales sur des blockchains telles que Harmony et Ronin Network.
Pour éviter de telles cyberattaques à l’avenir, il est impératif que les développeurs d’eScan et d’autres logiciels antivirus renforcent leurs protocoles de sécurité. Passer au protocole HTTPS, qui garantit un échange de données chiffré grâce au SSL/TLS, serait une première étape cruciale pour prévenir de telles intrusions. Alerté par Avast, eScan a rapidement corrigé la faille exploitée par les pirates l’été dernier.
Laisser un commentaire