0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Второй раз — это уже традиция. Антивирус eScan снова поймали на «сотрудничестве» с хакерами

leer en español

eScan MicroWorld Technologies Morphisec взлом вредоносное обновление инфраструктура обновлений антивирус
Второй раз — это уже традиция. Антивирус eScan снова поймали на «сотрудничестве» с хакерами
eScan MicroWorld Technologies Morphisec взлом вредоносное обновление инфраструктура обновлений антивирус

Кажется, разработчики забыли «сменить замки» после прошлого визита.

image

Компания MicroWorld Technologies, разработчик антивируса eScan, сообщила о несанкционированном доступе к одному из серверов обновлений, через который распространялся вредоносный файл. Инцидент произошёл 20 января 2026 года и затронул небольшую часть пользователей, получавших обновления с одного из региональных кластеров.

По утверждению компании, уязвимость не касалась самого антивирусного продукта — злоумышленники воспользовались доступом к конфигурации сервера, что позволило внедрить вредоносный файл в канал распространения обновлений.

В течение двух часов с момента начала атаки заражённый файл успели получить только те системы, которые обращались за обновлениями именно ко взломанному кластеру. Компания утверждает, что уже в день атаки была зафиксирована подозрительная активность, после чего сервер был изолирован, учётные данные — обновлены, а пострадавшим пользователям предоставлены инструкции по восстановлению.

Также eScan выпустила специальное обновление, предназначенное для устранения последствий атаки — оно автоматически выявляет и исправляет внесённые изменения, восстанавливает корректную работу службы обновлений, требуя лишь стандартной перезагрузки системы.

Отдельно о заражении сообщили специалисты Morphisec, которые зафиксировали вредоносную активность 20 января и позже опубликовали технический отчёт. По их данным, через легитимную инфраструктуру обновлений eScan распространялся изменённый компонент «Reload.exe», подписанный сертификатом eScan, но с недействительной подписью. Этот файл обеспечивал скрытность, выполнял команды, вносил изменения в системный файл HOSTS для блокировки обновлений и подключался к управляющим серверам для загрузки дополнительных вредоносных компонентов.

В ходе атаки использовались несколько серверов командного управления. Последним загружался файл «CONSCTLX.exe», выступавший в роли бэкдора и загрузчика. Установленные вредоносные файлы создавали задачи в планировщике Windows для закрепления в системе, маскируясь под стандартные имена.

Morphisec и eScan рекомендуют блокировать все задействованные в атаке домены и IP-адреса, чтобы предотвратить возможную повторную активность. В eScan подчёркивают, что большинство клиентов не пострадали и были своевременно уведомлены о произошедшем.

Это не первый случай, когда механизм обновления антивируса eScan используется для распространения вредоносного ПО. В 2024 году его уже эксплуатировали северокорейские хакеры для установки бэкдоров на корпоративные системы.