Киберзлоумышленникам удалось временно захватить контроль над локальным сервером распространения антивирусных обновлений и через него распространить вредоносную программу. Основные последствия инцидента были ликвидированы в течение двух часов.
Компания MicroWorld Technologies, создавшая антивирус eScan, подтвердила факт нарушения безопасности своей инфраструктуры. В результате атаки злоумышленники получили доступ к одному из серверов обновлений и внедрили в него вредоносный модуль, который затем был доставлен «незначительному числу» клиентов.
Судя по всему, масштабы действительно ограничены: инцидент затронул лишь региональный узел распространения обновлений. Его работа в скомпрометированном состоянии продолжалась примерно два часа 20 января 2026 года.
Разработчик заявил, что поражённый сегмент инфраструктуры был заблокирован и переконфигурирован, а данные для авторизации — изменены. Пострадавшим пользователям оказывается необходимая техническая помощь.
«Атаки на цепочки поставок программного обеспечения представляют собой одну из самых серьёзных и распространённых киберугроз современности, противостоять которым крайне непросто, — отмечает Дмитрий Гвоздев, генеральный директор компании «Информационные технологии будущего». — Если злоумышленникам удаётся скомпрометировать популярный продукт, как, например, в случае с Salesforce, последствия могут приобретать катастрофический размах. Единственный мыслимый способ защиты — отложенная установка некритических обновлений: как правило, информация о взломах становится известной достаточно быстро».
Специалисты компании Morphisec, в свою очередь, опубликовали отчёт о вредоносных действиях, зафиксированных на компьютерах, получивших заражённое антивирусное обновление. По их утверждению, именно они обнаружили проблему и уведомили о ней создателей eScan.
В MicroWorld Technologies это опровергают: по словам разработчиков, атака была выявлена собственными системами мониторинга, кроме того, о подозрительной активности сообщили некоторые пользователи. 21 января компания выпустила информационное сообщение по безопасности. Что касается Morphisec, то её эксперты, согласно версии разработчиков eScan, сначала публично объявили об инциденте, и лишь затем вышли на связь с MicroWorld.
По словам представителей компании, инцидент стал возможным из-за несанкционированного доступа к конфигурации регионального сервера обновлений, что позволило злоумышленникам заменить легитимный файл обновления на вредоносный.
Разработчики особо подчеркнули, что эксплуатации каких-либо уязвимостей в самом антивирусе eScan зафиксировано не было.
Пользователи, установившие скомпрометированное обновление, мгновенно теряли доступ к серверам eScan — «обновление» в виде файла Reload.exe модифицировало системный файл hosts, а также настройки клиентского приложения.
Вредоносная программа Reload.exe предпринимала попытки подключиться к ряду управляющих серверов. При установлении соединения, в систему загружался дополнительный опасный компонент — CONSCTLX.exe, действующий как бэкдор и загрузчик для других модулей. Для обеспечения своего постоянного присутствия, вредонос создавал новые задания в системном планировщике задач. Имена этих заданий были замаскированы под безобидные процессы, такие как CorelDefrag.
Компания eScan выпустила специальное обновление, которое необходимо вручную установить на заражённом компьютере. Данное обновление автоматически устраняет внесённые вредоносом изменения и возобновляет подключение к серверам для получения обновлений. После завершения установки требуется перезагрузка системы.
Специалисты Morphisec и MicroWorld также рекомендуют заблокировать доступ к перечисленным управляющим серверам злоумышленников.
