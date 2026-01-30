Разделы

Безопасность Администратору Новости поставщиков Пользователю
|

Серверы антивируса eScan взломали, скомпрометировали и раздавали с них вредонос

Хакерам удалось на некоторое время взломать региональный сервер обновлений антивируса и распространить через него вредоносное ПО. Через два часа проблема была в основном устранена.

Два часа на всё

Компания MicroWorld Technologies, разработчик антивируса eScan, сообщила о взломе её инфраструктуры. В результате злоумышленникам удалось получить контроль над одним из серверов обновлений и внедрить вредоносный компонент, который затем был разослан «небольшому проценту» пользователей.

По всей видимости, процент действительно невелик: речь идёт только о региональном кластере обновлений. Он оставался скомпрометиронным около двух часов 20 января 2026 г.

Разработчики заявляют, что взломанная часть инфраструктуры была изолирована и перенастроена, а реквизиты авторизации - обновлены. Затронутым пользователям оказывается техническая поддержка.

uyazvimost700.jpg
Изображение от nikitabuida на Freepik
Хакерам удалось взломать сервер обновлений антивируса и распространить через него вредоносное ПО

«Атаки на «цепочки поставок» - одна из наиболее распространённых и существенных киберугроз в современном мире, противостоять которой - особенно сложно, - говорит Дмитрий Гвоздев, генеральный директор компании «Информационные технологии будущего». - В случаях, когда злоумышленникам удаётся скомпрометировать популярный продукт, как это было, например, с Salesforce, последствия могут иметь катастрофические характер и масштабы. Единственный способ защиты, который приходит на ум, - это отсроченная установка некритичных обновлений: как правило, известия о взломе появляются довольно быстро».

Исследователи компании Morphisec, со своей стороны, опубликовали исследование вредоносной активности, которая наблюдалась на конечных точках, получивших скомпрометированный антивирус. По их словам, именно они выявили проблему и известили о ней разработчиков eScan.

В MicroWorld Technologies это отрицают: разработчики говорят, что сами обнаружили атаку благодаря мониторингу, плюс о вредоносной активности сообщили некоторые пользователи. 21 января компания выпустила бюллетень безопасности. А что касается Morphisec, то её исследователи, по словам разработчиков eScan, сперва публично заявили об инциденте, и только затем связались с MicroWorld.

Неавторизованный доступ

Что касается самого инцидента, то, по словам разработчиков, он стал следствием неавторизованного доступа к настройкам регионального сервера обновлений, в результате чего хакеры смогли подменить файл обновлений скомпрометированной версией.

Разработчики подчеркнули, что эксплуатации какой-либо уязвимости в самом eScan не наблюдалось.

Видеоконференции как основной инструмент бизнеса: критерии выбора в 2026 году
Бизнес-коммуникации

Пользователи, получившие скомпрометированное обновление, сразу же лишались доступа к серверам eScan - «обновление» в виде файла Reload.exe изменяло файл настроек hosts, а также настройки самого клиента.

Файл Reload.exe также пытался установить соединение с несколькими контрольными серверами. В случае успеха, в систему закачивался ещё один вредоносный компонент - CONSCTLX.exe, который выполнял функции бэкдора и загрузчика дополнительных модулей. Вредонос также создавал новые задачи в системном планировщике, которые обеспечивали постоянство присутствия. Наименования задач выглядели невинно: например, CorelDefrag.

Разработчики eScan выпустили обновление, которое предлагается запустить вручную на пострадавшей системе. Обновление автоматически откатывает вредоносные изменения и восстанавливает связь с серверами обновлений. После его установки потребуется перезагрузить машину.

В Morphisec и MicroWorld советуют также заблокировать вышеприведённые контрольные серверы злоумышленников.

Роман Георгиев

Подписаться на новости Короткая ссылка


Другие материалы рубрики

Импортозамещение СУБД: чего хотят клиенты из разных отраслей, что предлагают вендоры и как выбрать решение для своих задач

Файерволы Fortinet подвергаются автоматизированным атакам

Платформенная модель, кибербезопасность и ИИ: как до 2030 г. будет идти цифровая трансформация государства

Запущен бесплатный сканер, позволяющий выяснить, не является ли ваш IP частью ботнета

Как превратить онлайн-доску в модель корпоративной визуальной платформы

Линуксоиды тоже люди. «Касперский» выпустил антивирус для частных пользователей Linux

Конференции

Business Process Management 2026

Технологии искусственного интеллекта 2026

Цифровизация HR 2026
Показать еще

CNewsMarket

RPA

Подобрать платформу роботизации RPA

От 200 000 руб./месяц

S3-хранилище

Подобрать облачное хранилище

От 6,2 коп. за 1 Гб/месяц

VDI

Подобрать тариф на аренду виртуальных рабочих мест

От 1 750 руб./месяц

VPS

Подобрать виртуальный сервер

От 30 руб./месяц

Техника

Обзор робота-пылесоса ECOVACS DEEBOT X11 OmniCyclone: архитектор безупречного порядка

Обзор наушников HUAWEI FreeClip 2: открытый качественный звук и самобытный дизайн

Лучшие TWS-наушники стоимостью до 5000 рублей: выбор ZOOM

Показать еще

Наука

Дирижабли поднимут квантовые центры обработки данных в стратосферу — зачем это нужно?

В породах возрастом 3,3 миллиарда лет найдены древнейшие химические следы жизни

Новое исследование считает, что «хоббиты» вымерли из-за засухи
Показать еще