A MicroWorld Technologies, desenvolvedora do antivírus eScan, confirmou que um de seus servidores de atualização foi comprometido e utilizado para distribuir uma atualização não autorizada — posteriormente identificada como maliciosa — para um pequeno grupo de clientes no início deste mês.
O arquivo malicioso foi entregue a usuários que baixaram atualizações do cluster regional de servidores durante um intervalo de duas horas no dia 20 de janeiro de 2026.
Segundo a eScan, a infraestrutura afetada foi isolada e reconstruída, as credenciais de autenticação foram renovadas, e uma correção já está disponível para os clientes impactados.
De acordo com a Morphisec, a atividade maliciosa foi identificada em 20 de janeiro de 2026, data em que a empresa entrou em contato com a MicroWorld.
A eScan afirma ter detectado internamente o problema ainda em 20 de janeiro, por meio de monitoramento e relatos de clientes, isolando a infraestrutura comprometida em poucas horas.
A empresa divulgou um comunicado de segurança no dia seguinte, 21 de janeiro.
A MicroWorld também rebateu as afirmações de que os clientes afetados teriam sido mantidos sem informação, destacando que realizou notificações proativas e contato direto com os usuários impactados enquanto a correção era finalizada.
No comunicado oficial, a eScan classificou o incidente como um caso de acesso não autorizado à infraestrutura de atualização, explicando que uma intrusão na configuração regional do servidor permitiu a inserção de um arquivo não autorizado no processo de distribuição das atualizações.
“Um acesso não autorizado a uma das configurações do servidor regional de atualização resultou na colocação de um arquivo incorreto (binário de configuração de patch corrompido) na rota de distribuição das atualizações”, afirmou a empresa à imprensa.
O arquivo foi distribuído para clientes que baixaram atualizações do cluster afetado durante o período limitado de 20 de janeiro de 2026.
A empresa ressaltou que o incidente não envolveu nenhuma vulnerabilidade do produto eScan em si.
Além disso, destacou que apenas os clientes que atualizaram seus sistemas por meio do cluster regional comprometido foram afetados.
Os demais usuários da solução continuaram protegidos normalmente.
Clientes que instalaram a atualização maliciosa podem ter percebido sintomas como:
- Falhas no serviço de atualização
- Modificação do arquivo hosts do sistema, bloqueando o acesso aos servidores de atualização da eScan
- Alterações nos arquivos de configuração do eScan
- Impossibilidade de receber novas definições de segurança
- Pop-ups informando a indisponibilidade de atualizações nos computadores
Segundo o boletim da Morphisec, a atualização maliciosa continha uma versão modificada do componente “Reload.exe” do eScan.
“As atualizações maliciosas foram distribuídas por meio da infraestrutura legítima de atualização do eScan, resultando na implantação de malware em múltiplas etapas em dispositivos corporativos e de consumidores ao redor do mundo”, afirma o documento da Morphisec.
Apesar do Reload.exe modificado estar aparentemente assinado com o certificado de assinatura de código da eScan, o Windows e a plataforma VirusTotal indicam que a assinatura não é válida.
Conforme a Morphisec, o arquivo Reload.exe foi usado para garantir persistência, executar comandos, modificar o arquivo HOSTS do Windows para impedir atualizações remotas e conectar-se a servidores de comando e controle (C2) para baixar payloads adicionais.
Os servidores de comando e controle identificados foram listados pela Morphisec em seu relatório.
O payload final identificado foi um arquivo chamado CONSCTLX.exe, classificado pela Morphisec como um backdoor e downloader persistente.
Ainda segundo a pesquisa, os arquivos maliciosos criaram tarefas agendadas com nomes como “CorelDefrag” para manter a persistência no sistema.
Para solucionar o problema, a eScan lançou uma atualização de remediação que realiza as seguintes ações:
- Identifica e corrige automaticamente as modificações incorretas
- Restaura a funcionalidade correta do sistema de atualizações do eScan
- Verifica o sucesso da restauração
- Solicita a reinicialização do sistema
Tanto a MicroWorld quanto a Morphisec recomendam que os clientes bloqueiem os servidores de comando e controle indicados para aumentar a segurança.
Em 2024, hackers norte-coreanos já haviam explorado o mecanismo de atualização do antivírus eScan para instalar backdoors em redes corporativas, reforçando a importância da proteção robusta desse componente.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...