Une compromission d’un serveur de mise à jour d’eScan a permis la diffusion d’un composant malveillant via l’infrastructure officielle de l’éditeur. L’activité observée montre un malware conçu pour s’installer et, surtout, empêcher toute correction automatique.
Mi-janvier, une partie des clientes et clients d’eScan, antivirus édité par MicroWorld Technologies, a téléchargé sans le savoir un patch vérolé, après la compromission d’un serveur de mise à jour. Dans un rapport publié le 29 janvier, la société de sécurité Morphisec décrit une attaque ayant permis de pousser un composant modifié via l’infrastructure officielle d’eScan, puis de déployer un malware en plusieurs étapes. La charge malveillante altère ensuite la configuration du produit et certains réglages système afin de bloquer les mises à jour suivantes, compromettant toute tentative de remédiation automatique.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une mise à jour légitime transformée en cheval de Troie
Selon Morphisec, l’incident remonterait au 20 janvier dernier, date à laquelle un composant de mise à jour d’eScan, Reload.exe, aurait été remplacé par une version modifiée. Une fois exécuté, ce binaire trojanisé aurait ensuite déposé une charge additionnelle, CONSCTLX.exe, décrite comme un downloader destiné à récupérer d’autres éléments à distance, et à maintenir l’infection dans le temps.
Dans le détail, le malware cherche à continuer de s’exécuter après un redémarrage. Des tâches planifiées sont créées dans Windows, avec des intitulés choisis pour se fondre dans le décor, et des entrées sont ajoutées dans le registre pour relancer certaines commandes via PowerShell.
Une fois sécurisée, l’activité s’accompagne de connexions vers des serveurs contrôlés par l’attaquant. Plusieurs domaines et adresses IP sont cités comme liés à cette infrastructure, utilisée pour piloter la machine compromise et, potentiellement, diffuser d’autres charges. Leur statut n’était pas confirmé au moment de la publication, d’où une recommandation de blocage à titre préventif.
Enfin, la charge cherche à couper eScan de ses mises à jour en modifiant le fichier hosts et des paramètres liés à l’antivirus pour l’empêcher de contacter les serveurs d’update. Si ces changements sont appliqués, l’outil peut se retrouver incapable de récupérer de nouvelles définitions ou correctifs, ce qui complique nettement le retour à la normale et impose une intervention manuelle.
Que faire en l’absence de patch automatique
La priorité consiste évidemment à identifier les machines susceptibles d’avoir été infectées. Si vous utilisez eScan et que les mises à jour automatiques étaient actives autour du 20 janvier, il faut considérer le système comme potentiellement compromis et agir en conséquence.
Morphisec met à disposition une liste d’indicateurs de compromission qui permet de faire un premier tri. Elle sert à repérer la présence des fichiers associés à l’attaque, des tâches planifiées suspectes et, surtout, des modifications du fichier hosts ou de certains réglages de l'antivirus.
En cas de doute, isolez le PC, au moins le temps de vérifier ce qui a été modifié et d’éviter toute communication avec l’infrastructure de l’attaquant. Contactez ensuite eScan pour récupérer le correctif fourni par l’éditeur, et installez-le manuellement.
Enfin, puisque le malware communique avec des serveurs distants, n’oubliez pas de renouveler vos identifiants par mesure de précaution.
Sources : Morphisec, BleepingComputer
