A infraestrutura de atualização do antivírus eScan, desenvolvido pela empresa indiana de cibersegurança MicroWorld Technologies, foi comprometida por atacantes desconhecidos para distribuir um downloader persistente em sistemas corporativos e residenciais.
Segundo Michael Gorelik, pesquisador da Morphisec, "atualizações maliciosas foram disseminadas pela infraestrutura legítima de atualização do eScan, resultando na implantação de um malware em múltiplas etapas em endpoints empresariais e consumidores ao redor do mundo."
A MicroWorld Technologies identificou o acesso não autorizado à sua infraestrutura e isolou imediatamente os servidores de atualização afetados, que ficaram offline por mais de oito horas.
A empresa também lançou um patch para reverter os efeitos da atualização maliciosa.
Organizações impactadas foram orientadas a entrar em contato com a MicroWorld para obter a correção.
O incidente decorreu do acesso indevido a uma das configurações dos servidores regionais de atualização, permitindo que os invasores distribuíssem uma atualização corrompida durante um período limitado de aproximadamente duas horas em 20 de janeiro de 2026.
Em comunicado divulgado em 22 de janeiro de 2026, a MicroWorld afirmou: “O eScan sofreu uma interrupção temporária no serviço de atualização a partir de 20 de janeiro, afetando um subconjunto de clientes cujos sistemas baixam atualizações automaticamente em um intervalo específico e por meio de um cluster de atualização particular.”
“A causa foi o acesso não autorizado à infraestrutura regional dos servidores de atualização.
O incidente foi identificado e resolvido.
Uma remediação abrangente está disponível e abrange todos os cenarios observados.”
A Morphisec, que detectou o caso no mesmo dia 20 de janeiro, explicou que o payload malicioso interfere no funcionamento normal do produto, impedindo a correção automática.
O componente principal é o arquivo malicioso “Reload.exe”, responsável por instalar um downloader que cria persistência, bloqueia atualizações remotas e se comunica com um servidor externo para baixar mais payloads, incluindo o “CONSCTLX.exe”.
Segundo a Kaspersky, o “Reload.exe” legítimo, localizado em “C:\Program Files (x86)\escan\reload.exe”, foi substituído por uma versão fraudulenta que modifica o arquivo HOSTS para impedir futuras atualizações.
Esse arquivo falso possui uma assinatura digital inválida.
“Ao ser executado, esse reload.exe verifica se está sendo iniciado a partir da pasta Program Files e encerra o processo caso contrário”, explicou a empresa russa de segurança.
“O executável é baseado na ferramenta UnmanagedPowerShell, que permite rodar códigos PowerShell em qualquer processo.
Os atacantes modificaram seu código-fonte, adicionando capacidade de bypass da AMSI para executar um script malicioso dentro do processo reload.exe.”
O objetivo do binário é executar três payloads em PowerShell codificados em Base64, capazes de modificar a instalação do eScan para bloquear atualizações e a detecção do malware, contornar a Windows Antimalware Scan Interface (AMSI) e verificar se a máquina infectada pode receber mais payloads, entregando-os via PowerShell.
A verificação do sistema vítima analisa softwares instalados, processos e serviços ativos, confrontando-os com uma lista negra que inclui ferramentas de análise e soluções de segurança, como as da Kaspersky.
Se algum deles for detectado, a entrega dos payloads adicionais é interrompida.
Após essa validação, o script PowerShell contata um servidor externo para receber dois payloads: “CONSCTLX.exe” e um malware adicional baseado em PowerShell, que é executado por meio de uma tarefa agendada.
O primeiro script também substitui o arquivo “C:\Program Files (x86)\eScan\CONSCTLX.exe” pela versão maliciosa.
O “CONSCTLX.exe” inicia o malware em PowerShell e atualiza o arquivo “C:\Program Files (x86)\eScan\Eupdate.ini” com a data atual para simular que o antivírus está funcionando corretamente.
O malware em PowerShell repete a validação inicial e envia requisições HTTP para a infraestrutura controlada pelos invasores, buscando novos payloads para execução contínua.
Embora o boletim do eScan não especifique qual servidor regional foi comprometido, a análise da Kaspersky identificou centenas de máquinas infectadas, entre usuários individuais e organizações, principalmente na Índia, Bangladesh, Sri Lanka e Filipinas.
A investigação indica que os atacantes estudaram profundamente o funcionamento interno do eScan para entender seu mecanismo de atualização e encontrar uma forma de adulterar o processo e distribuir atualizações maliciosas.
Até o momento, não se sabe como eles obtiveram acesso aos servidores de atualização.
Segundo a Kaspersky, “é bastante incomum ver malwares distribuídos por meio da atualização de um produto de segurança.
Ataques à cadeia de suprimentos são raros, especialmente quando realizados via softwares antivírus.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...