現在幾乎所有網站和服務都已經採用加密協定連接，但讓人無法理解的是，印度本土防毒軟體eScan 竟然從2019 年開始就一直使用HTTP 明文協定來提供更新。 eScan 使用HTTP 明文協定推送軟體更新，然後有駭客就發現了機會，所謂最危險的地方就是最安全的地方，駭客在一款殺毒軟體的眼皮底下使用殺毒軟體本身的更新機制來投放病毒。

時間回到2023 年7 月：

捷克防毒軟體開發商AVAST 的研究人員注意到一款被其他研究人員稱為GuptiMiner 的惡意軟體，該惡意軟體背後有著極其複雜的攻擊鏈路，並且還盯上了eScan 的HTTP 明文協定。

當eScan 發動更新時複雜的攻擊連結就開始了，駭客先執行中間人攻擊從而攔截eScan 發往伺服器發送的請求資料包，接著再透過偽造的伺服器傳回惡意資料包，傳回的資料包也是eScan 提供的更新，只不過裡面已經被插入了GuptiMiner 惡意軟體。

當eScan 接到回傳的資料包並執行更新時，惡意軟體也被悄悄釋放並執行，顯然除了使用HTTP 明文協定外，eScan 可能還沒有對資料包進行簽章或哈希校驗(也可能是回傳的封包裡已經對哈希進行了修改)。

而這家防毒軟體至少從2019 年開始就一直使用HTTP 明文協定提供更新，雖然無法證明駭客是什麼時候利用起來的，但劫持更新來感染設備應該持續好幾年了。

惡意軟體的目的：

比較搞笑的是這款惡意軟體使用複雜的攻擊鏈發動攻擊，但最終目的可能是挖礦，至少AVAST 注意到GuptiMiner 除了安裝多個後門程式外(這屬於常規操作)，還釋放了XMrig，這是一款XMR 門羅幣開源挖礦程序，可以使用CPU 執行挖礦。

至於其他惡意目的都屬於比較常規的，例如如果被感染的設備位於大型企業內部網路中，則會嘗試橫向傳播感染更多設備。

如何實現劫持的：

這個問題AVAST 似乎也沒搞清楚，研究人員懷疑駭客透過某種手段破壞了目標網絡，從而將流量路由到惡意伺服器。

AVAST 研究發現駭客去年放棄了使用DNS 技術，使用一種名為IP 掩碼的混淆技術取而代之，並且還會在被感染設備上安裝自定義的ROOT TLS 證書，這樣就可以簽發任意證書實現各種連接都可以劫持。

AVAST 向印度CERT 和eScan 揭露漏洞後，後者在2023 年7 月31 日修復了漏洞，也就是換成了HTTPS 加密協定。