Вредоносные обновления антивируса eScan: как обнаружить и как избавиться

20 января этого года произошла атака на цепочку поставок при помощи антивирусного ПО eScan, разрабатываемого индийской компанией MicroWorld Technologies. Выяснилось, что через сервер обновлений этого продукта распространялось вредоносное ПО. В тот же день наши защитные решения смогли обнаружить и предотвратить атаки с использованием этого зловреда. 21 января компания Morphisec проинформировала разработчиков антивирусного ПО eScan, и они приняли меры по реагированию на инцидент.

Вредоносное ПО, использованное в атаке

Выяснилось, что в ходе заражения пользователи с установленными защитными продуктами eScan получали вредоносный файл Reload.exe, запуск которого начинал многоэтапную цепочку заражения. По данным коллег из Morphisec, первыми исследовавших атаку, Reload.exe предотвращал получение дальнейших обновлений продукта при помощи модификации файла HOSTS, чем блокировал возможность автоматического исправления проблемы разработчиками защитного решения. Это, помимо всего прочего, приводило к появлению ошибки сервиса обновления.

Зловред также обеспечивал закрепление в системе, соединялся с управляющими серверами и загружал дополнительную вредоносную нагрузку. Закрепление обеспечивалось при помощи создания задач в планировщике, в качестве примера названия одной из таких вредоносных задач приводится имя CorelDefrag. Также в ходе заражения на диск записывался вредоносный файл с именем consctlx.exe.

Как злоумышленникам удалось провернуть эту атаку

По запросу информационного портала BleepingComputer разработчики eScan объяснили, что злоумышленникам удалось получить доступ к одному из региональных серверов обновления и «подбросить» модифицированный файл, который автоматически был доставлен клиентам. Они подчеркивают, что речь не идет об уязвимости — инцидент классифицируется как нелегитимный доступ к инфраструктуре. Вредоносный файл распространялся с поддельной, невалидной цифровой подписью.

По словам разработчиков, затронутая инцидентом инфраструктура была быстро изолирована, а все учетные данные для доступа к ней сброшены.

Как оставаться в безопасности?

Для выявления факта заражения рекомендуется изучить запланированные задачи на предмет запуска через них вредоносного ПО, проверить файл %WinDir%\System32\drivers\etc\hosts на наличие заблокированных доменов eScan, а также просмотреть логи обновления eScan за 20 января.

Разработчики eScan создали для своих пользователей утилиту, удаляющую зловред, откатывающую сделанные им модификации и возвращающую нормальную функциональность антивируса. Утилита рассылается клиентам по запросу в службу технической поддержки.

Пользователям решения также рекомендуется заблокировать известные адреса серверов управления зловредом.

Защитные решения «Лаборатории Касперского», такие как Kaspersky Symphony, успешно выявляют используемое злоумышленниками вредоносное ПО благодаря технологии поведенческого анализа.

Индикаторы компрометации

Несколько вредоносных доменных имен и ссылок были перечислены в блоге компании Morphisec:

• https://vhs.delrosal[.]net/i
• https://tumama.hns[.]to
• https://blackice.sol-domain[.]org
• https://codegiant[.]io/dd/dd/dd.git/download/main/middleware.ts

Кроме того, наши эксперты обнаружили дополнительные сетевые индикаторы компрометации, связанные с этой атакой:

• https://airanks.hns[.]to
• https://csc.biologii[.]net/sooc

Взаимодействие с ними происходит через вредоносный исполняемый файл consctlx.exe .

Мы анализируем вредоносное ПО, связанное с этой атакой, и в ближайшее время добавим новые детали в пост.