Хакери успяха временно да компрометират регионален сървър за актуализации на антивирусна програма и да разпространяват зловреден софтуер чрез него. След два часа проблемът беше до голяма степен решен.
MicroWorld Technologies, разработчик на антивирусната програма eScan, съобщи за хакване на своята инфраструктура. В резултат на това нападателите са получили контрол над един от сървърите за актуализации и са инжектирали зловреден компонент, който след това е разпространен сред „малък процент” потребители.
Очевидно процентът наистина е малък: засегнат е само регионалният клъстер за актуализации. Той остава компрометиран за около два часа на 20 януари 2026 г.
Разработчиците твърдят, че хакната част от инфраструктурата е била изолирана и преконфигурирана, а данните за оторизация са актуализирани. Засегнатите потребители получават техническа поддръжка.
Изследователи на Morphisec, от своя страна, публикуваха проучване на злонамерена активност, наблюдавана на крайни точки, които са получили компрометирано антивирусно решение. Те твърдят, че са идентифицирали проблема и са уведомили разработчиците на eScan.
MicroWorld Technologies отрича това: тя твърди, че е открила атаката сама чрез мониторинг, а освен това някои потребители са съобщили за злонамерена активност. Компанията публикува бюлетин за сигурност на 21 януари.
Що се отнася до Morphisec, нейните изследователи, според разработчиците на eScan, първо публично са съобщили за инцидента и едва след това са се свързали с MicroWorld.
Що се отнася до самия инцидент, MicroWorld твърди, че той е резултат от неоторизиран достъп до настройките на регионалния сървър за актуализации, което е позволило на хакерите да заменят файла за актуализация с компрометирана версия.
Разработчиците подчертават, че не е наблюдавана експлоатация на каквато и да е уязвимост в самия eScan.
Потребителите, получили компрометираната актуализация, незабавно са загубили достъп до сървърите на eScan – „актуализацията” под формата на файла Reload.exe е променила конфигурационния файл на хостовете, както и настройките на клиента.
Reload.exe се е опитал да се свърже с няколко контролни сървъра, за да изтегли друг злонамерен компонент, CONSCTLX.exe, който действа като задна врата и програма за изтегляне на допълнителни модули.
Злонамереният софтуер е създал и нови задачи в системния планировчик, за да осигури своята устойчивост. Имената на задачите изглеждат безобидно, като например CorelDefrag.
Разработчиците на eScan пуснаха актуализация, която може да се стартира ръчно на засегнатата система. Актуализацията автоматично отменя злонамерените промени и възстановява връзката със сървърите за актуализации.
След инсталиране на актуализацията е необходимо рестартиране. Morphisec и MicroWorld също препоръчват блокиране на контролните сървъри на нападателите.
