Updateserver antivirusbedrijf eScan verspreidde malware onder klanten

In dit artikel:

Op 20 januari is een updateserver van antivirusleverancier eScan (MicroWorld) gecompromitteerd, waardoor klanten die van die server afhankelijk zijn een kwaadaardige update ontvingen. Securitybedrijf Morphisec ontdekte volgens eigen zeggen de aanval en meldde die aan MicroWorld; MicroWorld bestrijdt dat en zegt zelf de uitbraak te hebben ontdekt.

De malafide update wijzigde registerwaarden, bestanden en de updateconfiguratie van eScan, waardoor de virusscanner niet goed meer functioneerde: automatische updates en het automatisch herstel van de infectie werden geblokkeerd. Volgens Morphisec bevatte de update "multi-stage" malware, onder meer een backdoor; geïnfecteerde systemen maakten verbinding met een command‑and‑controlserver om extra payloads te downloaden. De kwaadaardige update was ondertekend met een eScan-certificaat. Hoe de aanvallers de server konden binnendringen is niet openbaar gemaakt.

Getroffen organisaties moeten volgens de onderzoekers zelf contact opnemen met eScan om handmatig een herstelupdate of patch te verkrijgen en te installeren. Als voorzorgsmaatregelen zijn het isoleren van geïnfecteerde machines, verifiëren van updatesignatures en het herstellen van systemen vanaf vertrouwde bronnen aan te raden, evenals het wisselen van bevoegde credentials en het controleren van logs op verdere compromittering.