Индийская компания MicroWorld Technologies, разработчик антивируса eScan, подтвердила взлом одного из своих региональных серверов обновлений. 20 января 2026 года злоумышленники распространили через него вредоносное обновление среди небольшой части пользователей. Малварь получили только те, кто скачивал обновления из этого кластера в определенное время.

Подчеркивается, что компания изолировала скомпрометированную инфраструктуру, восстановила ее с нуля, сменила все учетные данные и выпустила инструмент для пострадавших клиентов.

Параллельно с этим пресс-релизом ИБ-компания Morphisec опубликовала собственный технический отчет о вредоносной активности, зафиксированной на клиентских машинах после установки обновлений от eScan.

Эксперты Morphisec описали этот инцидент как критическую компрометацию цепочки поставок. По их данным, злоумышленники получили доступ к конфигурации регионального сервера обновлений и подменили легитимный файл на вредоносный. Модифицированная версия компонента Reload.exe была подписана сертификатом eScan, однако Windows и VirusTotal считали эту подпись невалидной.

Вредоносный файл обеспечивал злоумышленникам закрепление в системе, мог выполнять команды своих операторов, редактировал файл HOSTS в Windows (блокируя подключение к серверам обновлений eScan) и связывался со своей управляющей инфраструктурой для загрузки дополнительных пейлоадов.

Финальной полезной нагрузкой в этой атаке стал файл CONSCTLX.exe — бэкдор с функциями постоянного загрузчика. Для сохранения присутствия в системе малварь создавала запланированные задачи с именами вроде «CorelDefrag».

Отмечается, что пострадавшие пользователи могли заметить ошибки от службы обновлений, обратить внимание на невозможность получения новых сигнатур, всплывающие окна о недоступности обновлений и измененный HOSTS-файл.

При этом в MicroWorld Technologies оспаривают заявления экспертов Morphisec о том, что компания сама первой обнаружила инцидент. Представители eScan заявили изданию The Register, что проблему они выявили сами — через внутренний мониторинг и жалобы клиентов. По словам представителей компании, исследователи из Morphisec связались с ними уже после публикации предупреждений в блоге и соцсетях.

Также разработчики eScan отрицают, что пострадавшие пользователи не знали об инциденте — компания утверждает, что проактивно уведомляла клиентов по электронной почте, через WhatsApp, по телефону и через портал техподдержки.

Судя по всему, этот конфликт может перейти в юридическую плоскость, так как в MicroWorld Technologies заявили, что намерены обратиться к юристам из-за «явно ложных технических утверждений» в публикации Morphisec.

В настоящее время для пользователей eScan выпущен специальный инструмент, который автоматически выявляет и откатывает вредоносные изменения, восстанавливает работу обновлений и требует перезагрузки системы.

Напомним, что это не первая атака на eScan за последние годы. Так, в 2024 году северокорейские хакеры эксплуатировали механизм обновления индийского антивируса для распространения вредоноса GuptiMiner, с помощью которого устанавливали бэкдоры в крупные корпоративные сети, а также доставляли криптовалютные майнеры.