Серверы антивируса eScan взломали, скомпрометировали и раздавали с них вредонос

Хакерам удалось на некоторое время взломать региональный сервер обновлений антивируса и распространить через него вредоносное ПО. Через два часа проблема была в основном устранена.

Два часа на всё

Компания MicroWorld Technologies, разработчик антивируса eScan, сообщила о взломе её инфраструктуры. В результате злоумышленникам удалось получить контроль над одним из серверов обновлений и внедрить вредоносный компонент, который затем был разослан «небольшому проценту» пользователей.

По всей видимости, процент действительно невелик: речь идёт только о региональном кластере обновлений. Он оставался скомпрометиронным около двух часов 20 января 2026 г.

Разработчики заявляют, что взломанная часть инфраструктуры была изолирована и перенастроена, а реквизиты авторизации - обновлены. Затронутым пользователям оказывается техническая поддержка.

Изображение от nikitabuida на Freepik Хакерам удалось взломать сервер обновлений антивируса и распространить через него вредоносное ПО

«Атаки на «цепочки поставок» - одна из наиболее распространённых и существенных киберугроз в современном мире, противостоять которой - особенно сложно, - говорит Дмитрий Гвоздев, генеральный директор компании «Информационные технологии будущего». - В случаях, когда злоумышленникам удаётся скомпрометировать популярный продукт, как это было, например, с Salesforce, последствия могут иметь катастрофические характер и масштабы. Единственный способ защиты, который приходит на ум, - это отсроченная установка некритичных обновлений: как правило, известия о взломе появляются довольно быстро».

Исследователи компании Morphisec, со своей стороны, опубликовали исследование вредоносной активности, которая наблюдалась на конечных точках, получивших скомпрометированный антивирус. По их словам, именно они выявили проблему и известили о ней разработчиков eScan.

В MicroWorld Technologies это отрицают: разработчики говорят, что сами обнаружили атаку благодаря мониторингу, плюс о вредоносной активности сообщили некоторые пользователи. 21 января компания выпустила бюллетень безопасности. А что касается Morphisec, то её исследователи, по словам разработчиков eScan, сперва публично заявили об инциденте, и только затем связались с MicroWorld.

Неавторизованный доступ

Что касается самого инцидента, то, по словам разработчиков, он стал следствием неавторизованного доступа к настройкам регионального сервера обновлений, в результате чего хакеры смогли подменить файл обновлений скомпрометированной версией.

Разработчики подчеркнули, что эксплуатации какой-либо уязвимости в самом eScan не наблюдалось.

Пользователи, получившие скомпрометированное обновление, сразу же лишались доступа к серверам eScan - «обновление» в виде файла Reload.exe изменяло файл настроек hosts, а также настройки самого клиента.

Файл Reload.exe также пытался установить соединение с несколькими контрольными серверами. В случае успеха, в систему закачивался ещё один вредоносный компонент - CONSCTLX.exe, который выполнял функции бэкдора и загрузчика дополнительных модулей. Вредонос также создавал новые задачи в системном планировщике, которые обеспечивали постоянство присутствия. Наименования задач выглядели невинно: например, CorelDefrag.

Разработчики eScan выпустили обновление, которое предлагается запустить вручную на пострадавшей системе. Обновление автоматически откатывает вредоносные изменения и восстанавливает связь с серверами обновлений. После его установки потребуется перезагрузить машину.

В Morphisec и MicroWorld советуют также заблокировать вышеприведённые контрольные серверы злоумышленников.