Серверите за ажурирање на антивирусот eScan се компромитирани за испорака на повеќестепен малициозен софтвер

Инфраструктурата за ажурирање на eScan antivirus, безбедносно решение развиено од индиската компанија за сајбер-безбедност MicroWorld Technologies, е компромитирана од непознати напаѓачи со цел да се испорача перзистентен downloader на корпоративни и потрошувачки системи.

„Злонамерни ажурирања беа дистрибуирани преку легитимната инфраструктура за ажурирање на eScan, што резултираше со распоредување на повеќестепен малициозен софтвер на корпоративни и потрошувачки крајни точки ширум светот“, изјави истражувачот од Morphisec, Мајкл Горелик.

MicroWorld Technologies соопшти дека открило неовластен пристап до својата инфраструктура и веднаш ги изолирало погодените сервери за ажурирање, кои останале офлајн повеќе од осум часа. Компанијата, исто така, објави закрпа што ги поништува промените воведени како дел од злонамерното ажурирање. На погодените организации им се препорачува да контактираат со MicroWorld Technologies за да го добијат решението.

Компанијата наведе дека нападот бил резултат на неовластен пристап до конфигурацијата на еден од нејзините регионални сервери за ажурирање, што им овозможило на напаѓачите да дистрибуираат „оштетено“ ажурирање до корисниците во „ограничен временски период“ од околу два часа на 20 јануари 2026 година.

„eScan доживеа привремено нарушување на услугата за ажурирање почнувајќи од 20 јануари 2026 година, што зафати подгрупа корисници чии системи автоматски преземаат ажурирања во одреден временски интервал, од специфичен кластер за ажурирање“, соопшти компанијата во известување издадено на 22 јануари 2026 година. „Проблемот произлезе од неовластен пристап до инфраструктурата на регионалниот сервер за ажурирање. Инцидентот е идентификуван и решен. Достапна е сеопфатна санација што ги опфаќа сите забележани сценарија.“

Morphisec, која го идентификуваше инцидентот на 20 јануари 2026 година, соопшти дека злонамерниот payload ја нарушува редовната функционалност на производот, ефективно спречувајќи автоматска санација. Ова конкретно вклучува испорака на злонамерна датотека „Reload.exe“, која е дизајнирана да испушти downloader со функционалности за воспоставување перзистентност, блокирање на далечински ажурирања и комуникација со надворешен сервер за преземање дополнителни payload-и, вклучувајќи ја и „CONSCTLX.exe“.

Според деталите споделени од Kaspersky, „Reload.exe“ – легитимна датотека лоцирана во C:\Program Files (x86)\escan\reload.exe – е заменета со злонамерна верзија која може да спречи понатамошни ажурирања на антивирусниот производ преку модифицирање на HOSTS датотеката. Таа е потпишана со лажен, невалиден дигитален потпис.

„Кога ќе се стартува, оваа reload.exe датотека проверува дали е извршена од папката Program Files и излегува ако тоа не е случај“, соопшти руската компанија за сајбер-безбедност. „Оваа извршна датотека е базирана на алатката UnmanagedPowerShell, која овозможува извршување PowerShell код во било кој процес. Напаѓачите го модифицирале изворниот код на овој проект со додавање можност за заобиколување на AMSI, и го искористиле за извршување злонамерна PowerShell скрипта внатре во процесот reload.exe.“

Примарната улога на бинарната датотека е да стартува три PowerShell payload-и кодирани во Base64, кои се наменети да:

• Манипулираат со инсталираното eScan решение за да спречат примање ажурирања и детекција на инсталираните злонамерни компоненти
• Го заобиколат Windows Antimalware Scan Interface (AMSI)
• Проверат дали машината на жртвата треба понатаму да се инфицира и, доколку да, да ѝ испорачаат PowerShell-базиран payload

Чекорот за валидација на жртвата ја проверува листата на инсталиран софтвер, активни процеси и сервиси според вградена „blocklist“ листа која вклучува алатки за анализа и безбедносни решенија, меѓу кои и оние од Kaspersky. Доколку тие се детектираат, не се испорачуваат дополнителни payload-и.

PowerShell payload-от, откако ќе се изврши, контактира надворешен сервер и добива два payload-а како одговор: „CONSCTLX.exe“ и втор PowerShell-базиран малициозен софтвер што се стартува преку закажана задача. Вреди да се напомене дека првата од трите споменати PowerShell скрипти исто така ја заменува компонентата C:\Program Files (x86)\eScan\CONSCTLX.exe со злонамерната датотека.

„CONSCTLX.exe“ функционира така што го стартува PowerShell-базираниот малициозен софтвер, а воедно го менува и времето на последното ажурирање на eScan производот на тековното време, запишувајќи го тековниот датум во датотеката C:\Program Files (x86)\eScan\Eupdate.ini, со цел да создаде впечаток дека алатката работи нормално. PowerShell малициозниот софтвер, од своја страна, ги извршува истите процедури за валидација како и претходно и испраќа HTTP барање до инфраструктурата контролирана од напаѓачите за да добие уште PowerShell payload-и за понатамошно извршување.

Во билтенот на eScan не е наведено кој регионален сервер за ажурирање бил погоден, но анализата на телеметриските податоци од Kaspersky открила „стотици машини што им припаѓаат и на поединци и на организации“ кои се соочиле со обиди за инфекција со payload-и поврзани со овој напад на синџирот на снабдување. Овие машини главно се лоцирани во Индија, Бангладеш, Шри Ланка и Филипините.

Безбедносната компанија исто така истакна дека напаѓачите морале детално да ги проучат внатрешните механизми на eScan за да разберат како функционира неговиот систем за ажурирање и како може да се манипулира за дистрибуција на злонамерни ажурирања. Во моментов не е познато како заканувачите успеале да добијат пристап до серверот за ажурирање.

„Особено е необично да се види малициозен софтвер што се испорачува преку ажурирање на безбедносно решение“, се наведува. „Нападите на синџирот на снабдување се ретки воопшто, а уште поретки се оние што се оркестрирани преку антивирусни производи.“

Извори:

• The Hacker News – eScan Antivirus Update Servers Compromised to Deliver Multi-Stage Malware The Hacker News